全部產品
Search

搜尋本產品

    Security Center:華為雲資產接入指南

    文件中心

    Security Center:華為雲資產接入指南

    更新時間:Feb 04, 2026

    通過在阿里雲Security Center配置華為雲帳號Access Key(簡稱AK),Security Center可通過訪問華為Cloud API擷取資產資訊,將華為雲主機、雲產品等雲資源統一接入Security Center的安全防護體系。本文詳解通過提供華為雲帳號AK方式完成華為雲資產接入的具體配置流程,協助您實現跨雲資產的集中安全管控,降低多雲環境下的安全管理複雜度。

    配置方案及支援的功能

    配置方案

    方案說明

    支援的功能

    手動設定方案

    自行建立華為雲子帳號並授權,之後在Security Center提交子帳號AK完成接入授權。

    • 主機資產

    • 雲安全態勢管理-雲產品配置

    • Agentic SOC

    快速配置方案(僅接入主機資產)

    提交華為雲主帳號AK後,Security Center自動建立華為雲子帳號並完成接入授權。

    主機資產
    重要

    本文包含的所有在華為雲控制台的操作步驟僅供參考,具體操作步驟請參見下文中的華為雲文檔連結。

    手動設定方案

    1. 建立使用者組並完成授權

    具體操作,請參見建立使用者組並授權

    1. 登入華為雲控制台,進入使用者組頁面。在使用者組頁面右上方,單擊建立使用者組

    2. 建立使用者組頁面,填寫使用者組名稱及描述,並單擊確定

    3. 使用者組頁面,單擊新建立的使用者組操作列的授權

    4. 根據您需要使用的功能,配置對應的許可權,配置完成後單擊下一步

      • 主機資產:

        • ECS ReadOnlyAccess,彈性雲端服務器的唯讀存取權限。

        • IAM ReadOnlyAccess,統一身份認證服務的唯讀許可權。

      • 雲安全態勢管理:

        • Tenant Guest,全部雲端服務唯讀許可權(除IAM許可權)。

        • IAM ReadOnlyAccess,統一身份認證服務的唯讀許可權。

      • Agentic SOC:單擊建立策略,分別建立兩個自訂策略siemBasePolicy和siemNormalPolicy。然後為目前使用者組授權該策略。具體操作,請參見建立自訂策略

        說明

        華為雲建立自訂策略需要分別建立全域級和專案級兩條策略,便於授權時設定最小授權範圍。

        • siemBasePolicy對應全域級雲端服務許可權,策略內容如下:

          {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

        • siemNormalPolicy對應專案級雲端服務許可權,策略內容如下:

          {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

    5. 選擇授權範圍方案地區,選擇所有資源,單擊確定

    2. 建立IAM使用者並擷取AK

    具體操作,請參見建立IAM使用者

    1. 在華為雲控制台,進入使用者頁面。在使用者頁面右上方,單擊建立使用者

    2. 在建立使用者頁面,填寫使用者名稱稱,訪問方式選擇編程訪問,單擊下一步

      image

    3. 加入使用者組(可選)嚮導頁面,選擇上個步驟中建立的使用者組,單擊建立使用者

    4. 下載存取金鑰提示對話方塊,單擊確定

      儲存credentials檔案中的Access Key Id和Secret Access Key。

    3. 選擇許可權說明並提交子帳號AK

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇系統設定 > 功能設定。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    3. 多云配置管理 > 多云资产頁簽,單擊新增授权,在下拉式清單中選擇華為雲

      您也可以通過以下任意入口,開啟接入云外资产面板。

      • 資產 > 主機資產頁面,將滑鼠移動至多雲資產接入地區image表徵圖處,並單擊華為雲下方的接入

      • 風險治理 > 雲安全態勢管理頁面的雲產品配置風險頁簽,將滑鼠移動至多云云產品接入地區image表徵圖處,並單擊華為雲下方的接入

      • 威脅分析與響應 > 產品接入頁面,將滑鼠移動至多雲產品接入地區image表徵圖處,並單擊華為雲下方的接入授權

    4. 接入云外资产面板,保持預設選擇手动配置方案,根據您需要使用的Security Center能力,選擇許可權說明中對應的功能,單擊下一步

      • 主機資產:如果您需要Security Center控制台自動同步華為雲主機資產時,請選中該配置項。選中該配置項後,在接下來的步驟中,您需要授予接入使用的子帳號雲端服務器的讀許可權

      • 雲安全態勢管理:如果您需要使用雲安全態勢管理功能掃描華為雲產品配置並管理雲產品配置風險時,請選中該配置項。

      • 威脅分析與響應:如果您需要使用Agentic SOC功能聯動華為雲資產進行惡意IP封鎖等處置響應時,請選中該配置項。

    5. 提交AK嚮導頁面,輸入已擷取的子帳號AK和SK,並單擊下一步

      帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。

      重要

      請勿刪除或禁用子帳號及AK,以免影響接入。

    4. 完成接入策略配置

    1. 在Security Center控制台接入雲外資產面板的策略配置嚮導中,配置需接入的華為雲資產的地區、資料同步頻率等,單擊確定

      配置項

      說明

      選擇地區

      選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國全球(不含中國)),將當前帳號下的資產資料接入對應的管理中心。

      新增地區接入管理

      選中該項後,當前華為雲帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。

      不選中該項時,新增地區將不會被接入Security Center。

      主機資產同步頻率

      選擇Security Center自動同步華為雲主機資產的時間間隔。選擇關閉,表示不同步。

      說明

      當接入的資產許可權說明選擇主機資產時,需要配置該參數。

      雲產品同步頻率

      選擇Security Center自動同步華為云云產品的時間間隔。選擇關閉,表示不同步。

      說明

      當接入的資產許可權說明選擇雲安全態勢管理時,需要配置該參數。

      AK服務狀態檢查

      選擇Security Center自動檢測華為雲帳號API密鑰有效性的時間間隔。選擇關閉,表示不檢測。

    2. 單擊同步最新资产,將華為雲帳號下的所有資產同步到Security Center。

    快速配置方案(僅接入主機資產)

    1. 建立主帳號密鑰

    具體操作,請參見新增存取金鑰

    1. 登入華為雲控制台,進入存取金鑰頁面。

    2. 單擊新增存取金鑰,在對話方塊中選中我已知悉,為帳號建立存取金鑰會帶來的風險,單擊繼續建立

      image

    3. 建立成功對話方塊,單擊立即下載

      儲存credentials檔案中的Access Key Id和Secret Access Key。

    2. 提交主帳號AK

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇系統設定 > 功能設定。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    3. 多云配置管理 > 多云资产頁簽,單擊新增授权,在下拉式清單中選擇華為雲

      您也可以通過以下任意入口,開啟接入云外资产面板。

      • 資產 > 主機資產頁面,將滑鼠移動至多雲資產接入地區image表徵圖處,並單擊華為雲下方的接入

      • 風險治理 > 雲安全態勢管理頁面的雲產品配置風險頁簽,將滑鼠移動至多云云產品接入地區image表徵圖處,並單擊華為雲下方的接入

      • 威脅分析與響應 > 產品接入頁面,將滑鼠移動至多雲產品接入地區image表徵圖處,並單擊華為雲下方的接入授權

    4. 接入云外资产面板,選擇快速配置方案,單擊下一步

    5. 提交AK嚮導頁面,輸入已擷取的帳號AccessKeyId、SecretAccessKey和帳號名稱,並單擊下一步

      帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。

    完成上述操作後,Security Center會自動在華為雲控制台建立首碼為AlibabaCloudGroup_的使用者及使用者組,用於完成接入Security Center的授權。建議您不要刪除或禁用該使用者及其AK,以免影響華為雲資產接入。

    image

    3. 完成接入策略配置

    1. 在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入華為雲資產的地區、資料同步頻率等,單擊確定

      配置項

      說明

      選擇地區

      選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國內地非中國內地),將當前帳號下的資產資料接入對應的管理中心。

      新增地區接入管理

      選中該項後,當前華為雲帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。

      不選中該項時,新增地區將不會被接入Security Center。

      主機資產同步頻率

      選擇Security Center自動同步華為雲主機資產的時間間隔。選擇關閉,表示不同步。

      AK服務狀態檢查

      選擇Security Center自動檢測華為雲子帳號AccessKey有效性的時間間隔。選擇關閉,表示不檢測。

    2. 單擊同步最新资产,將華為雲帳號下的所有主機資產同步到Security Center。

    4. 刪除主帳號密鑰

    具體操作,請參見刪除存取金鑰

    1. 登入華為雲控制台,進入存取金鑰頁面。

    2. 單擊存取金鑰操作列的停用,並在提示對話方塊單擊確定

    3. 單擊存取金鑰操作列的刪除,並在提示對話方塊單擊確定

    接入結果驗證

    主機資產

    在Security Center控制台資產 > 主機資產頁面,在多雲資產接入地區單擊image表徵圖,查看接入的華為雲主機。更多資訊,請參見主機資產

    雲安全態勢管理

    在Security Center控制台資產 > 雲產品頁面,查看已通過子帳號接入的華為雲產品列表。更多資訊,請參見查看雲產品資訊

    Agentic SOC

    在Security Center控制台系統設定 > 功能設定頁面的多云配置管理頁簽,查看Agentic SOC的服務狀態。若服務狀態顯示正常,則接入成功。image

    後續操作

    為主機資產安裝用戶端並綁定授權

    1. 為華為雲資產安裝Security Center用戶端。具體操作,請參見安裝用戶端

      重要

      在執行新增安裝命令操作時,服務商需選擇華為雲

    2. 免費版僅支援基礎的安全檢測,無安全防護能力。您可以為接入的華為雲端服務器綁定Security Center的付費防護版本(例如防病毒版、進階版、企業版或旗艦版),以便使用Security Center的安全防護能力。具體操作,請參見管理主機及容器安全授權數

    執行雲安全態勢管理檢查

    1. 設定並執行雲平台配置風險檢查策略,檢查華為雲產品中是否存在配置風險。

    2. 查看並處理未通過的雲平台配置風險檢查項

    將日誌接入Agentic SOC

    您需要將華為雲Web Application Firewall、Cloud Firewall日誌接入,才能使用Agentic SOC提供的威脅檢測、安全事件處置等能力。將日誌接入的操作步驟如下:

    1. 將華為雲日誌接入Agentic SOC

      1. 將待接入的日誌轉儲到指定雲產品

      2. 綁定第三方雲廠商帳號並設定資料來源

      3. 接入第三方雲產品日誌

    2. 使用Agentic SOC的威脅檢測、安全事件處置等能力

    相關文檔