全部產品
Search

搜尋本產品

    Managed Security Service:授權Managed Security Service訪問雲資源

    文件中心

    Managed Security Service:授權Managed Security Service訪問雲資源

    更新時間:Nov 08, 2025

    使用Managed Security Service服務前,您需要為Managed Security Service服務完成STS授權和SSO授權,允許Managed Security Service訪問雲資源,以便完成Managed Security Service的營運服務。本文介紹如何為Managed Security Service服務進行授權。

    STS授權

    Managed Security Service服務關聯角色

    阿里雲STS(Security Token Service)是阿里雲提供的一種臨時存取權限管理服務。您需要通過建立AliyunServiceRoleForMssp服務關聯角色,授權Managed Security Service訪問您的Elastic Compute Service、Security Center、Object Storage Service、雲資料庫RDS等資源,以便完成Managed Security Service的營運服務。

    重要

    • 如果您是通過登入Managed Security Service控制台購買Managed Security Service服務,在首次登入時,系統會提示您建立AliyunServiceRoleForMssp服務關聯角色,此時,您無需執行此步驟。

    • 如果登入Managed Security Service控制台後沒有彈出服務授權對話方塊,說明已經授權成功。您可以登入RAM控制台,在身份管理 > 角色頁面尋找是否有AliyunServiceRoleForMssp角色。

    1. 登入Managed Security Service控制台

    2. 服務授權對話方塊,單擊同意授權並開通

    ESA安全託管服務關聯角色

    如果您需要Managed Security Service對您的邊緣安全加速 ESA(Edge Security Acceleration)進行安全營運,您需要通過建立AliyunServiceRoleForESAMssp服務關聯角色,授權Managed Security Service訪問您的邊緣安全加速 ESA、Log ServiceSLS,以便完成Managed Security Service的營運服務。

    1. 登入Managed Security Service控制台

    2. 單擊總覽頁面右上方建立ESA服務關聯角色

    3. 服務授權對話方塊,單擊同意授權並開通

    SSO授權

    您需要通過建立可信實體為身份供應商的RAM角色,實現企業IdP與阿里雲的角色SSO(Single Sign On,單點登入),以便Managed Security Service服務擷取完整的雲資源的風險評估、安全強化等資料。

    前提條件

    您已擷取Managed Security Service服務授權證明所需的XML認證。

    重要

    如果您沒有XML認證,請聯絡您購買Managed Security Service服務時對接的交付經理。

    操作步驟

    1. 使用阿里雲帳號登入RAM控制台

    2. 建立SAML身份供應商。

      1. 在左側導覽列,選擇整合管理 > SSO管理

      2. 角色SSO頁簽,先單擊SAML頁簽,然後單擊建立身份供應商

      3. 建立身份供應商頁面,輸入身份供應商名稱(例如:aliyun-mssp)和備忘

      4. 中繼資料文檔地區,單擊上傳中繼資料,上傳Managed Security Service服務授權證明的XML認證。

      5. 單擊建立身份供應商

    3. 建立可信實體為身份供應商(上一步建立的aliyun-mssp)的RAM角色。

      1. 在左側導覽列,選擇身份管理 > 角色

      2. 角色頁面,單擊建立角色

        image

      3. 建立角色頁面的右上方,單擊切換編輯器

        image

      4. 使用可視化編輯模式指定2. 建立SAML身份供應商中建立的身份供應商aliyun-mssp

        image

      5. 在編輯器中設定限制條件。

        支援的服務級條件關鍵字如下表所示:

        限制條件關鍵字

        說明

        是否必選

        樣本

        saml:recipient

        阿里雲通過檢查該元素的值來確保阿里雲是該SAML斷言的目標接收方。

        固定取值https://signin.alibabacloud.com/saml-role/sso

      6. 單擊確定,然後在建立角色對話方塊,輸入角色名稱(例如aliyun-mssp),再單擊確定

    4. 為上一步建立的RAM角色aliyun-mssp授權。

      1. 在建立RAM角色的完成頁簽單擊為角色授權;或者在左側導覽列,選擇身份管理 > 角色,然後在RAM角色aliyun-mssp操作列單擊添加許可權

      2. 添加許可權面板為RAM角色aliyun-mssp添加以下許可權。具體操作,請參見為RAM角色授權

        • ReadOnlyAccess:用於 ECS、OSS、RDS、SLS等雲上產品的安全配置功能資料的收集和驗證。

        • AliyunYundunFullAccess:用於 SAS、CFW、WAF等雲上安全產品的安全配置功能資料的收 集和驗證,以及在雲上安全產品下發巡檢配置規則和相關應急止血封鎖等情境中的使用。

        • AliyunSupportFullAccess:用於跟進產品諮詢工單的能力。

        • AliyunCloudMonitorFullAccess:管理CloudMonitor(CloudMonitor)的許可權,用於網站監測類配置。

        • AliyunECSFullAccess(可選):部分主機應急響應和代維操作時所需的許可權,如:鏡像快照、 安全性群組策略修改、漏洞補丁修複等。

    取消服務授權

    如果您不再使用Managed Security Service服務,您需要通過移除角色許可權和刪除角色來取消服務授權。

    1. 移除角色的許可權。具體操作,請參見為RAM角色移除許可權

    2. 刪除角色。具體操作,請參見刪除RAM角色