通過Security Center的多雲組態管理功能,可將百度智能雲的產品接入阿里雲,以進行統一的雲安全態勢管理(CSPM),實現跨雲環境的統一安全視圖和風險檢測。
步驟一:在百度雲建立子帳號授權憑證
建立具備最低必要許可權的IAM子使用者,用於阿里雲資訊安全中心整合,並擷取其存取金鑰(Access Key)。
登入子使用者控制台
登入百度雲-子帳號管理控制台,單擊建立子帳號。
配置使用者資訊
使用者名稱:自訂一個易於識別的名稱(例如
aliyun-security-center-user)。訪問方式:選擇編程訪問。
快速授權:建議不要勾選,避免許可權過大。
設定使用者權限
在使用者列表,單擊目標使用者操作列的添加許可權。
根據計劃在Security Center使用的功能,勾選對應的權限原則。
功能
策略方案
備忘
雲安全態勢管理(CSPM)
方案一:
IAMReadAccessPolicy+GlobalReadPolicy方案二:
IAMReadAccessPolicy+BCCReadAccessPolicy+百度雲產品各策略許可權。
GlobalReadPolicy包含所有產品的唯讀許可權,方便快速接入。若需精細化授權,請採用方案二,按需添加雲產品的策略。
建立並儲存AK
在使用者列表,單擊目標使用者名稱稱,進入使用者詳情頁。
在使用者詳情頁的AccessKey地區,單擊建立AccessKey。
完成安全驗證後,在建立完成彈框內,單擊下載AccessKey,儲存AccessKeyID和AccessKeySecret。
警告關閉彈窗後,將不在提供AK下載服務,請及時下載並妥善保管AK資訊。
步驟二:在Security Center完成接入配置
當已在百度雲成功建立用於授權的子使用者API密鑰後,請返回Security Center控制台以完成接入配置。
進入授權頁面
可以通過以下任意路徑進入 AWS 資產接入流程:
推薦路徑:
訪問Security Center控制台-系統設定-功能設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在頁簽,單擊新增授权,然後選擇百度云。
其他入口:
的多云云產品接入地區,單擊
表徵圖下方的接入按鈕。
配置接入憑證
在接入云外资产面板,選擇需要授權的模組地區,勾選需要接入的功能後,單擊下一步。
說明目前僅支援雲安全態勢管理。
在提交AK頁面,準確填寫在步驟1中建立的AK資訊。
填寫完畢後,單擊下一步,系統將自動校正憑證和許可權。
說明
配置同步策略:
選擇地區:選擇需要接入的 百度元 資產所屬的地區。
說明同步的資產資料將歸屬於Security Center控制台左上方所選地區對應的資料中心。
中國內地:中國內地資料中心。
非中國內地:新加坡資料中心。
新增地區接入管理:建議勾選。勾選後,該百度雲帳號下未來新增地區內的雲產品將自動同步,無需手動添加。
雲產品同步頻率:設定自動同步百度雲產品的周期。如不需同步,可設為“關閉”。
AK服務狀態檢查:設定Security Center自動檢查百度雲帳號 API 金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
完成配置後,單擊同步最新资产,系統將自動將百度雲帳號下的雲產品同步到Security Center。
步驟三:查看已接入的產品
在Security Center控制台頁面,左側全部雲產品導航中,單擊百度云,可查看接入的百度雲資產。更多資訊,請參考查看雲產品資訊。
首次接入或配置變更後,資產同步可能存在一定延遲。
附錄:百度雲產品權限原則
Security Center支援的百度雲產品將持續更新,更多產品支援請以控制台為準。
策略名稱稱 | 許可權說明 |
| Redis 執行個體的唯讀存取權限。 |
| Kafka 執行個體的唯讀存取權限。 |
| MongoDB 執行個體的唯讀存取權限。 |
| RDS 執行個體的唯讀存取權限。 |
| VPC 資源的唯讀存取權限。 |
| BOS 儲存桶讀取許可權。 |
| BLB 執行個體的唯讀存取權限。 |
常見問題
為什麼在Security Center看不到部分接入的百度雲資源?
地區未選擇:在Security Center的接入配置中,檢查是否已勾選該資源所在的百度雲地區。
同步延遲:首次接入或配置變更後,資產同步可能存在一定延遲,請等待同步完成。
填寫完AK後,自動校正憑證和許可權失敗怎麼辦?
通常為子帳號許可權不足,請參考設定設定使用者權限,前往百度雲控制台修改或補充相關使用者權限策略。