如何授予RAM使用者系統許可權和自訂許可權 - Security Center

如需對RAM使用者使用Security Center相關功能做精細化的許可權管理，您可以通過授予RAM使用者系統權限原則或自訂權限原則來實現。本文介紹如何授予RAM使用者系統權限原則和自訂權限原則，實現精細化的許可權管理。

背景資訊

阿里雲存取控制服務為各雲產品提供預設的存取控制系統策略，同時支援使用者自訂存取控制策略。系統策略由阿里雲預設建立，不支援修改。您可以使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

說明

Security Center支援的預設策略為AliyunYundunSASFullAccess（表示允許RAM使用者對Security Center的所有功能進行操作）和AliyunYundunSASReadOnlyAccess（表示允許RAM使用者唯讀訪問Security Center的所有資料）。

建立RAM使用者

具體操作，請參見建立RAM使用者。

授予RAM使用者系統策略

阿里雲提供了費用中心、訪問或管理Security Center相關的系統策略。如果RAM使用者購買、續約、退訂Security Center執行個體時提示無許可權，或RAM使用者訪問Security Center提示暫無許可權，請檢查許可權，您可以參考以下步驟授予RAM使用者對應的系統策略實現為RAM使用者授權。

重要

費用中心的系統權限原則對所有雲產品生效。給RAM使用者授權費用中心相關係統策略後，RAM使用者將擁有購買、續約、退訂所有雲產品的許可權。

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

在添加許可權面板中，為RAM使用者添加許可權。

選擇資源範圍。
- 帳號層級：許可權在當前阿里雲帳號內生效。
- 資源群組層級：許可權在指定的資源群組內生效。
  重要
  指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

根據使用情境選擇系統策略下的指定策略，並單擊確認新增授權。

情境	系統策略
購買、續約、退訂Security Center執行個體	AliyunBSSOrderAccess、AliyunBSSRefundAccess
唯讀訪問Security Center	AliyunYundunSASReadOnlyAccess
管理Security Center	AliyunYundunSASFullAccess

單擊關閉。

授予RAM使用者自訂策略

參考以下步驟使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

步驟一：建立Security Center自訂權限原則

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 權限原則。
在權限原則頁面，單擊建立權限原則。

在建立權限原則頁面，單擊指令碼編輯頁簽。常見的指令碼樣本如下：

續約和退款

使用情境	指令碼配置
自動續約的詢價（`bssapi:QueryAvailableInstances`）和設定（bssapi:SetRenewal）	`{ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }`
修改自動續約（`bss:ModifyPrepaidInstanceAutoRenew`）
續約和變更配置的訂單支付（`bss:PayOrder`）
折扣價格顯示（`bss:QueryPrice`）
申請退款（`bss:RefundBatchRemainRefund`）

資產中心唯讀

{
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "yundun-sas:DescribeCloudCenterInstances",
                     "yundun-sas:DescribeFieldStatistics",
                     "yundun-sas:DescribeCriteria"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

資產中心安全檢查

{
    "Version": "1",
    "Statement": [
        {
            "Action": "yundun-sas:ModifyPushAllTask",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

漏洞管理唯讀

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "yundun-sas:DescribeVulFixStatistics",
                "yundun-sas:DescribeVulDefendCountStatistics",
                "yundun-sas:DescribeVulMetaCountStatistics",
                "yundun-sas:DescribeVulListPage",
                "yundun-sas:DescribeVulNumStatistics",
                "yundun-sas:DescribeVulConfig",
                "yundun-sas:DescribeGroupedVul",
                "yundun-sas:DescribeVulDetails",
                "yundun-sas:DescribeVulList",
                "yundun-sas:DescribeVulWhitelist",
                "yundun-sas:DescribeAppVulScanCycle",
                "yundun-sas:ListVulAutoRepairConfig",
                "yundun-sas:DescribeEmgUserAgreement",
                "yundun-sas:DescribeEmgVulItem",
                "yundun-sas:DescribeUuidsByVulNames",
                "yundun-sas:DescribeTarget",
                "yundun-sas:DescribeVulTargetStatistics",
                "yundun-sas:DescribeConcernNecessity",
                "yundun-sas:DescribeOnceTask",
                "yundun-sas:GetOnceTaskResultInfo",
                "yundun-sas:DescribeCycleTaskList",
                "yundun-sas:DescribeVulExportInfo",
                "yundun-sas:DescribeInstanceRebootStatus",
                "yundun-sas:DescribeMachineCanReboot"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

漏洞管理

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "yundun-sas:OperateVuls",
                "yundun-sas:ModifyCreateVulWhitelist",
                "yundun-sas:DeleteVulWhitelist",
                "yundun-sas:ModifyVulWhitelistTarget",
                "yundun-sas:ModifyOperateVul",
                "yundun-sas:ModifyStartVulScan",
                "yundun-sas:ModifyVulConfig",
                "yundun-sas:ModifyEmgVulSubmit",
                "yundun-sas:ModifyVulTarget",
                "yundun-sas:ModifyCycleTask",
                "yundun-sas:ModifyAppVulScanCycle",
                "yundun-sas:ModifyAutoDelConfig",
                "yundun-sas:ModifyConcernNecessity",
                "yundun-sas:DeleteVulAutoRepairConfig",
                "yundun-sas:CreateVulAutoRepairConfig",
                "yundun-sas:ExportVul",
                "yundun-sas:RebootMachine",
                "yundun-sas:DescribeVulFixStatistics",
                "yundun-sas:DescribeVulDefendCountStatistics",
                "yundun-sas:DescribeVulMetaCountStatistics",
                "yundun-sas:DescribeVulListPage",
                "yundun-sas:DescribeVulNumStatistics",
                "yundun-sas:DescribeVulConfig",
                "yundun-sas:DescribeGroupedVul",
                "yundun-sas:DescribeVulDetails",
                "yundun-sas:DescribeVulList",
                "yundun-sas:DescribeVulWhitelist",
                "yundun-sas:DescribeAppVulScanCycle",
                "yundun-sas:ListVulAutoRepairConfig",
                "yundun-sas:DescribeEmgUserAgreement",
                "yundun-sas:DescribeEmgVulItem",
                "yundun-sas:DescribeUuidsByVulNames",
                "yundun-sas:DescribeTarget",
                "yundun-sas:DescribeVulTargetStatistics",
                "yundun-sas:DescribeConcernNecessity",
                "yundun-sas:DescribeOnceTask",
                "yundun-sas:GetOnceTaskResultInfo",
                "yundun-sas:DescribeCycleTaskList",
                "yundun-sas:DescribeVulExportInfo",
                "yundun-sas:DescribeInstanceRebootStatus",
                "yundun-sas:DescribeMachineCanReboot"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

營運人員許可權

說明

在營運人員許可權情境中，該指令碼的權限原則允許RAM使用者使用漏洞掃描、漏洞修複、基準檢查和資產中心功能並進行相關操作。添加該策略後，RAM使用者具體可以執行的操作，請參見本文附錄：常見的自訂功能權限原則表格中的Action及其說明。

{
    "Version": "1",
    "Statement": [{
            "Action": [
                "yundun-sas:OperateVul",
                "yundun-sas:ModifyStartVulScan"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "yundun-sas:FixCheckWarnings",
                "yundun-sas:IgnoreHcCheckWarnings",
                "yundun-sas:ValidateHcWarnings"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ecs:RebootInstance",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": "true"
                }
            }
        },
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecs:*:*:*"
            ]
        },
        {
            "Action": "ecs:CreateSnapshot",
            "Effect": "Allow",
            "Resource": [
                "acs:ecs:*:*:*",
                "acs:ecs:*:*:snapshot/*"
            ]
        },
        {
            "Action": [
                "ecs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }, {
            "Action": [
                "yundun-sas:ModifyPushAllTask",
                "yundun-sas:DeleteTagWithUuid",
                "yundun-sas:ModifyTagWithUuid",
                "yundun-sas:CreateOrUpdateAssetGroup",
                "yundun-sas:DeleteGroup",
                "yundun-sas:ModifyAssetImportant",
                "yundun-sas:RefreshAssets"

            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

單擊繼續編輯基本資料，然後輸入權限原則的名稱和備忘。
單擊確定。

步驟二：為RAM使用者授權

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 授權。
在授權頁面，單擊新增授權。
在新增授權面板，為RAM使用者添加許可權。
新建立的RAM使用者預設不支援任何許可權。
1. 選擇資源範圍。
  - 帳號層級：許可權在當前阿里雲帳號內生效。
  - 資源群組層級：許可權在指定的資源群組內生效。
    重要
    指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
2. 選擇授權主體。
  授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。
3. 選擇權限原則。
  - 搜尋並選擇AliyunYundunSASReadOnlyAccess策略。該系統策略可以授予營運人員唯讀訪問Security Center服務的許可權。
  - 搜尋並選擇步驟一：建立Security Center自訂權限原則中建立的自訂策略。
單擊確認新增授權。

附錄：常見的自訂功能權限原則

RAM使用Security Center指定功能時，您需要為RAM使用者完成下述對應功能自訂許可權的授權。以下內容介紹Security Center常用功能模組支援的自訂權限原則指令碼。

說明

多數情況下，RAM自訂權限原則中的Action與該雲產品的API一一對應。

資產中心

RAM權限原則Action	描述	支援的API
yundun-sas:DescribeCloudCenterInstances	查詢資產列表資訊。包括資產的類型、是否存在安全警示、用戶端線上狀態等。	DescribeCloudCenterInstances - 查詢資產資訊
yundun-sas:DescribeFieldStatistics	查詢您資產中伺服器的統計資訊。	DescribeFieldStatistics - 查詢資產中伺服器的統計資訊
yundun-sas:DescribeCriteria	擷取查詢資產時，輸入的模糊比對值對應的查詢條件資訊。	DescribeCriteria - 查詢資產時的查詢條件
yundun-sas:ModifyPushAllTask	對伺服器執行安全檢查任務。	ModifyPushAllTask - 一鍵下發安全檢查任務
yundun-sas:DeleteGroup	刪除資產的分組。	DeleteGroup - 刪除伺服器分組
yundun-sas:DescribeSearchCondition	查詢資產的篩選條件。	DescribeSearchCondition - 查詢資產的篩選條件
yundun-sas:DescribeImageStatistics	查詢容器鏡像資產的風險統計資訊。	DescribeImageStatistics - 查詢容器鏡像資產的風險統計資訊
yundun-sas:DescribeGroupedTags	查詢資產標籤的統計資訊。	DescribeGroupedTags - 查詢標籤的統計資訊
yundun-sas:DescribeDomainCount	擷取網域名稱資產數量。	DescribeDomainCount - 查詢網域名稱資產數量
yundun-sas:DescribeCloudProductFieldStatistics	擷取雲產品統計資訊。	DescribeCloudProductFieldStatistics - 查詢雲產品統計資訊
yundun-sas:DescribeCloudCenterInstances	查詢資產資訊。	DescribeCloudCenterInstances - 查詢資產資訊
yundun-sas:DescribeAllGroups	查詢所有伺服器分組資訊。	DescribeAllGroups - 查詢服務器分組資訊
yundun-sas:CreateOrUpdateAssetGroup	建立伺服器分組或修改伺服器分組下的伺服器。	CreateOrUpdateAssetGroup - 修改資產與資產分組關係
yundun-sas:DescribeInstanceStatistics	查詢資產的風險統計資訊。	DescribeInstanceStatistics - 查詢服務器的統計資訊
yundun-sas:PauseClient	啟用或暫停Agent用戶端。	PauseClient - 啟用或暫停Agent用戶端
yundun-sas:ModifyTagWithUuid	修改資產的標籤名稱或修改指定標籤下包含的資產。	ModifyTagWithUuid - 修改資產標籤名或標籤中的資產
yundun-sas:RefreshAssets	同步最新資產。	RefreshAssets - 同步資產
yundun-sas:ExportRecord	匯出資產中心、雲安全態勢管理、鏡像安全掃描、攻擊分析、AK泄露檢測等頁面的檢測結果的Excel檔案。	ExportRecord - 匯出結果清單
yundun-sas:DescribeExportInfo	查看資產匯出任務的進度。	DescribeExportInfo - 查看資產列表的匯出進度
yundun-sas:DescribeDomainList	查詢網域名稱資產資訊列表。	DescribeDomainList - 查詢網域名稱資產資訊
yundun-sas:DescribeDomainDetail	擷取網域名稱資產詳情。	DescribeDomainDetail - 查詢網域名稱資產詳情
yundun-sas:DescribeAssetDetailByUuid	使用資產的UUID查詢資產的詳情。	DescribeAssetDetailByUuid - 查詢服務器資產詳情和擴充資訊

漏洞管理

RAM權限原則Action	描述	支援的API
yundun-sas:DescribeVulWhitelist	分頁查詢漏洞白名單。	DescribeVulWhitelist - 分頁查詢漏洞白名單
yundun-sas:ModifyOperateVul	對檢測到的漏洞進行處理，處理方式包括修複、驗證、忽略等。	ModifyOperateVul - 對檢測到的漏洞進行處理
yundun-sas:ModifyVulTargetConfig	設定單台伺服器的漏洞檢測配置。	ModifyVulTargetConfig - 設定單台伺服器的漏洞檢測配置
yundun-sas:DescribeConcernNecessity	查詢關注的漏洞修複必要性資訊。	DescribeConcernNecessity - 查詢關注的漏洞修複必要性資訊
yundun-sas:DescribeVulList	根據漏洞類型查詢對應漏洞資訊。	DescribeVulList - 根據漏洞類型查詢對應漏洞資訊
yundun-sas:ModifyOperateVul	對檢測到的漏洞進行處理，處理方式包括修複、驗證、忽略等。	ModifyOperateVul - 對檢測到的漏洞進行處理
yundun-sas:DescribeImageVulList	查看鏡像安全掃描的漏洞的詳情及受漏洞影響容器鏡像的資訊列表。	DescribeImageVulList - 查看容器鏡像漏洞列表
yundun-sas:ExportVul	匯出漏洞列表。	ExportVul - 匯出漏洞列表
yundun-sas:DescribeVulExportInfo	查看漏洞匯出任務的進度。	DescribeVulExportInfo - 查看漏洞匯出任務的進度

雲安全態勢管理

RAM權限原則Action	描述	支援的API
yundun-sas:FixCheckWarnings	修複基準檢查風險項。	FixCheckWarnings - 修複基準檢查風險項
yundun-sas:IgnoreHcCheckWarnings	忽略或取消忽略基準檢查風險項。	IgnoreHcCheckWarnings - 對基準的風險項批量執行忽略或取消忽略
yundun-sas:ValidateHcWarnings	驗證基準檢查風險項。	ValidateHcWarnings - 批量驗證基準檢查風險項

Security Center：RAM使用者權限管理最佳實務