通過在阿里雲Security Center配置火山引擎子帳號Access Key(簡稱AK),可將火山引擎主機資產自動同步至阿里雲安全防護體系。本文詳解通過AK方式完成火山引擎主機資產接入的具體配置流程,協助您實現跨雲資產的集中安全管控,降低多雲環境下的安全管理複雜度。
配置方案
本文包含的所有在火山引擎控制台的操作步驟僅供參考,具體操作步驟請參見下文中的火山引擎文檔連結。
配置方案 | 方案說明 | 支援的功能 |
提交火山引擎主帳號AK後,Security Center自動建立子帳號並完成接入授權。 | 主機資產 | |
自行在火山引擎建立子帳號並授權要求的權限,之後在Security Center提交子帳號AK完成授權。 | 主機資產、雲安全態勢管理(CSPM) |
快速配置方案
1. 建立主帳號密鑰
具體操作,請參見API存取金鑰管理。
登入火山引擎控制台,進入API存取金鑰頁面。在AK泄露檢測頁面,單擊建立密鑰。
在建立密鑰對話方塊,單擊繼續,根據提示完成身份認證。
在建立密鑰成功對話方塊,單擊下載憑證。
請儲存已下載的檔案中的AccessKeyId和SecretAccessKey資訊。
2. 提交主帳號AK
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在頁簽,單擊新增授权,在下拉式清單中選擇火山引擎。
您也可以在頁面,將滑鼠移動至多雲資產接入地區
表徵圖處,並單擊火山引擎下方的接入,開啟接入云外资产面板。在接入云外资产面板,選擇快速配置方案,單擊下一步。
在提交AK嚮導頁面,輸入已擷取的帳號AccessKeyId、SecretAccessKey和帳號名稱,並單擊下一步。
帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。
3. 完成接入策略配置
在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入的火山引擎資產的地區、資料同步頻率等,單擊確定。
配置項
說明
選擇地區
選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國或全球(不含中國)),將當前帳號下的資產資料接入對應的管理中心。
新增地區接入管理
選中該項後,當前火山引擎帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。
不選中該項時,新增地區將不會被接入Security Center。
主機資產同步頻率
選擇Security Center自動同步火山引擎主機資產的時間間隔。選擇關閉,表示不同步。
AK服務狀態檢查
選擇Security Center自動檢測火山雲帳號AccessKey有效性的時間間隔。選擇關閉,表示不檢測。
單擊同步最新资产,將火山引擎帳號下的所有主機資產同步到Security Center。
完成接入策略配置後,Security Center會自動在火山引擎控制台建立首碼為AlibabaSas_的使用者,用於完成接入Security Center的授權。建議您不要刪除或禁用該使用者及其密鑰,以免影響火山雲資產接入。
4. 刪除主帳號密鑰
在接入完成後,為了確保主帳號的安全,建議您參考下述步驟在火山引擎控制台刪除授權使用的主帳號的Access Key。具體操作,請參見API存取金鑰管理。
登入火山引擎控制台,進入API存取金鑰頁面。單擊在Security Center已提交的Access Key操作列的禁用。
在是否確定此 AK 已禁用?對話方塊,單擊確定。根據控制台提示完成身份認證操作。
在AK洩露檢測頁面,單擊目標Access Key操作列的刪除,根據控制台提示完成刪除操作。
手動設定方案
1. 建立子帳號並擷取AK
具體操作,請參見使用者管理。
登入火山引擎控制台,進入使用者頁面。在使用者頁面,單擊新增。
在建立使用者頁面,單擊通過使用者名稱建立。
在通過使用者名稱建立頁面,填寫使用者名稱,選擇登入設定為編程訪問,單擊下一步。
配置接入策略:在接入策略頁簽,根據計劃在Security Center使用的功能,勾選對應的權限原則後單擊下一步。
功能
權限原則
主機資產
IAMReadOnlyAccessECSReadOnlyAccess雲安全態勢管理(CSPM)
ALBReadOnlyAccessAdvDefenceReadOnlyCLBReadOnlyAccessCRReadOnlyAccessCloudFirewallReadOnlyAccessCloudIdentityReadOnlyAccessECSReadOnlyAccessHBaseReadOnlyAccessIAMReadOnlyAccessKMSReadOnlyAccessMCDNReadOnlyAccessMongoDBReadOnlyAccessNATReadOnlyAccessRDSMSSQLReadOnlyAccessRDSMySQLReadOnlyAccessRDSPGReadOnlyAccessRedisReadOnlyAccessSecCenterReadOnlyAccessTOSReadOnlyAccessVBHReadOnlyAccessVKEReadOnlyAccessVPCReadOnlyAccessVedbMysqlReadOnlyAccessVeenReadOnlyAccessWafReadOnlyAccessAgentKitReadOnlyAccessIDReadOnlyAccessArkReadOnlyAccess說明也可設定全域唯讀
ReadOnlyAccess策略,避免新增的資產和屬性因未及時進行使用權限設定,導致CSPM無法檢測。確認使用者資訊後,單擊綁定帳號,並前往綁定資料來源。
在使用者資訊地區,單擊儲存並下載csv或
表徵圖,儲存Access Key ID和Secret Access Key。
2. 提交子帳號AK
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在頁簽,單擊新增授权,在下拉式清單中選擇火山引擎。
您也可以在頁面,將滑鼠移動至多雲資產接入地區
表徵圖處,並單擊火山引擎下方的接入,開啟接入云外资产面板。在接入云外资产面板,保持預設選擇手动配置方案,在許可權說明地區選中主機資產,單擊下一步。
在提交AK嚮導頁面,輸入已擷取的子帳號AccessKeyId、SecretAccessKey和帳號名稱,並單擊下一步。
帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。
重要請勿刪除或禁用子帳號及其AccessKey,以免影響接入。
3. 完成接入策略配置
在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入的火山引擎資產的地區、資料同步頻率等,單擊確定。
配置項
說明
選擇地區
選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國或全球(不含中國)),將當前帳號下的資產資料接入對應的管理中心。
新增地區接入管理
選中該項後,當前火山引擎帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。
不選中該項時,新增地區將不會被接入Security Center。
主機資產同步頻率
選擇Security Center自動同步火山引擎主機資產的時間間隔。選擇關閉,表示不同步。
AK服務狀態檢查
選擇Security Center自動檢測火山雲帳號AccessKey有效性的時間間隔。選擇關閉,表示不檢測。
單擊同步最新资产,將火山引擎帳號下的所有主機資產同步到Security Center。
管理已接入的資產
主機資產
前往頁面,在多雲資產接入地區單擊表徵圖,可查看接入的火山引擎資產列表。可參考如下步驟,對已接入的 主機,進行深度防護和管理。
更多資訊,請參考主機資產
安裝用戶端:為AWS主機安裝Security Center用戶端,在執行安裝命令時,服務商需選擇 AWS。具體操作,請參考安裝用戶端。
升級版本擷取防護:預設的免費版僅提供基礎安全檢測。為獲得完整的安全防護能力(如防病毒、漏洞修複、入侵防禦等),請為 AWS 主機綁定付費版本(防病毒版及以上),具體操作,請參考管理主機及容器安全授權數。
雲安全態勢管理(CSPM)
在Security Center控制台頁面,左側全部雲產品導航中,單擊AWS,可查看接入的AWS資產。已接入的 AWS 資產可使用CSPM如下功能:
更多資訊,請參考查看雲產品資訊。
執行配置風險檢查:檢查AWS產品中是否存在配置風險,具體操作,請參考設定並執行雲平台配置風險檢查策略,
處理風險項:根據檢查結果,查看並修複未通過的風險檢查項,提升雲上資產的合規性與安全性。具體操作,請參考查看並處理未通過的雲平台配置風險檢查項。