全部產品
Search

搜尋本產品

    Security Center:騰訊雲資產接入指南

    文件中心

    Security Center:騰訊雲資產接入指南

    更新時間:Feb 04, 2026

    為阿里雲Security Center提供騰訊雲子帳號API密鑰後,Security Center可通過訪問騰訊Cloud API將騰訊雲主機、雲產品等雲資源統一接入Security Center的安全防護體系。本文詳解通過提供騰訊雲子帳號API密鑰方式完成騰訊雲資產接入的具體配置流程,實現跨雲資產的集中安全管控,降低多雲環境下的安全管理複雜度。

    配置方案說明

    配置方案支援的功能

    配置方案

    方案說明

    支援的功能

    手動設定方案

    自行在騰訊雲建立子帳號並授權要求的權限,之後在Security Center提交子帳號API密鑰完成接入。

    • 主機資產

    • 雲安全態勢管理-雲產品配置

    • Agentic SOC

    快速配置方案

    提交主帳號API密鑰後,Security Center自動建立子帳號並完成接入授權。

    主機資產

    配置流程

    手動設定方案

    image

    快速配置方案

    image

    重要

    本文包含的所有在騰訊雲控制台的操作步驟僅供參考,具體操作步驟請參見下文中的騰訊雲文檔連結。

    手動設定方案

    1. 建立子帳號並完成授權

    具體操作,請參見建立子使用者子使用者權限設定

    1. 登入騰訊雲控制台,進入使用者列表頁面。

    2. 使用者列表頁面,單擊建立使用者,並選擇快速建立

    3. 快速建立使用者頁面,完成如下配置:

      • 使用者名稱:便於尋找和理解的使用者名稱稱。

      • 訪問方式:選擇編程訪問。

    4. 單擊使用者權限列下的image表徵圖,根據您需要使用的功能,配置下述功能對應的許可權,配置完成後單擊確定

      • 主機資產:QcloudCVMReadOnlyAccess -雲端服務器(CVM)相關資源唯讀存取權限。

      • 雲安全態勢管理-雲產品配置:

        使用雲安全態勢管理功能時,您可以選擇預設策略或自訂策略中的一種完成授權。

        預設策略

        使用預設策略時,您需要為正在建立的使用者授予下述許可權。

        • CloudResourceReadOnlyAccess :該策略允許唯讀訪問賬戶內所有雲端服務,除財務相關和部分CAM介面(如子使用者屬性、密鑰、使用者組等)。

        • QcloudCamReadOnlyAccess:使用者與許可權(CAM)唯讀存取權限。

        自訂策略

        重要

        如果Security Center的雲安全態勢管理功能新增了檢查項,必須及時更新對應的自訂策略,否則會無法檢測新增的檢查項。請謹慎使用自訂策略授權。

        若需對Security Center訪問騰訊雲資產的許可權進行精細化管控,可藉助自訂策略授權的方式,實現細粒度的許可權管理,對操作類型、資源範圍等進行靈活限定,從而在保障騰訊雲資產安全的同時,確保許可權分配的合理性與靈活性。操作步驟如下:

        單擊建立自訂策略,建立一個名為cspmPolicy的自訂策略。然後為正在建立的使用者授權該策略。具體操作,請參見通過策略文法建立自訂策略。策略內容中元素配置的詳細說明,請參見元素參考

        cspmPolicy策略內容

        {
	"version": "2.0",
	"statement": [{
			"effect": "allow",
			"action": [
				"cam:DescribeRoleList",
				"cam:DescribeSafeAuthFlagColl",
				"cam:GetPolicy",
				"cam:GetRole",
				"cam:GetRolePermissionBoundary",
				"cam:GetUser",
				"cam:GetUserPermissionBoundary",
				"cam:ListAccessKeys",
				"cam:ListAttachedRolePolicies",
				"cam:ListAttachedUserAllPolicies",
				"cam:ListCollaborators",
				"cam:ListUsers"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cbs:DescribeDiskAssociatedAutoSnapshotPolicy",
				"cbs:DescribeDisks",
				"cdb:DescribeAccountPrivileges",
				"cdb:DescribeAccounts",
				"cdb:DescribeAuditConfig",
				"cdb:DescribeBackupConfig",
				"cdb:DescribeDBFeatures",
				"cdb:DescribeDBInstances",
				"cdb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"clb:DescribeLoadBalancers",
				"clb:DescribeTargetHealth",
				"clb:DescribeTargets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cvm:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cwp:DescribeAssetMachineDetail"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"dcdb:DescribeDCDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"es:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mariadb:DescribeAccountPrivileges",
				"mariadb:DescribeAccounts",
				"mariadb:DescribeBackupTime",
				"mariadb:DescribeDBInstanceDetail",
				"mariadb:DescribeDBInstances",
				"mariadb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"postgres:DescribeBackupPlans",
				"postgres:DescribeDBInstanceSecurityGroups",
				"postgres:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"redis:DescribeAutoBackupConfig",
				"redis:DescribeDBSecurityGroups",
				"redis:DescribeInstanceMonitorTopNCmd",
				"redis:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"region:DescribeRegions"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"ssl:DescribeCertificate",
				"ssl:DescribeCertificates"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"tcr:DescribeInstances",
				"tcr:DescribeRepositories"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"vpc:DescribeNetworkAcls",
				"vpc:DescribeSecurityGroupPolicies",
				"vpc:DescribeSecurityGroups",
				"vpc:DescribeSubnets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mysql:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		}
	]
}

      • Agentic SOC:單擊建立自訂策略,建立一個名為siemPolicy的自訂策略。然後為正在建立的使用者授權該策略。具體操作,請參見通過策略文法建立自訂策略

        siemPolicy策略內容

        {
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

    5. 快速建立使用者頁面,單擊创建用户

    2. 為子帳號建立API密鑰

    具體操作,請參見子帳號存取金鑰管理

    1. 在騰訊雲控制台的使用者列表頁面,單擊建立的子帳號名稱。在使用者詳情頁面API密鑰頁簽,單擊建立密鑰

    2. 建立SecretKey對話方塊,單擊下載CSV檔案複製,儲存SecretId和SecretKey後,單擊確定

    3. 配置子帳號功能許可權並提交API密鑰

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇系統設定 > 功能設定。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    3. 多云配置管理 > 多云资产頁簽,單擊新增授权,在下拉式清單中選擇腾讯云

      您也可以通過以下任意入口,開啟接入云外资产面板。

      • 資產 > 主機資產頁面,將滑鼠移動至多雲資產接入地區image表徵圖處,並單擊腾讯云下方的接入

      • 風險治理 > 雲安全態勢管理頁面的雲產品配置風險頁簽,將滑鼠移動至多云云產品接入地區image表徵圖處,並單擊腾讯云下方的接入

      • 威脅分析與響應 > 產品接入頁面,將滑鼠移動至多雲產品接入地區image表徵圖處,並單擊腾讯云下方的接入授權

    4. 接入云外资产面板,保持預設選擇手动配置方案,根據您需要使用的Security Center能力,選擇許可權說明中對應的功能,單擊下一步

      • 主機資產:如果您需要Security Center控制台自動同步騰訊雲主機資產時,請選中該配置項。

      • 雲安全態勢管理:如果您需要使用雲安全態勢管理功能掃描騰訊雲產品配置並管理雲產品配置風險時,請選中該配置項。

      • 威脅分析與響應:如果您需要使用Agentic SOC功能聯動騰訊雲資產進行惡意IP封鎖等處置響應時,請選中該配置項。

    5. 提交AK嚮導頁面,輸入步驟2建立的API密鑰資訊,並單擊下一步

      帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。

      重要

      請勿刪除或禁用子使用者及API密鑰,以免影響接入。

    4.(可選)完成審計日誌配置

    許可權說明選擇雲安全態勢管理時,如果您需要在Security Center接入騰訊雲中雲產品的系統活動或操作的日誌以擷取更完善的檢測,您需在審計日志配置嚮導頁面,參考下述步驟完成配置,單擊下一步。如果不需要接入審計日誌,請單擊跳過

    重要

    審計日誌配置的Kafka和日誌集合相關資料將用於雲安全態勢管理中身份許可權管理(CIEM)的檢測,如果不配置審計日誌,Security Center會無法檢測CIEM相關檢查項。

    1. 進入騰訊雲Log Service控制台,建立一個日誌主題。具體操作,請參見管理日誌主題

      Log Service地區建議選擇與雲產品相同的地區。

    2. 進入騰訊雲Action Trail控制台,使用跟蹤集投遞日誌。具體操作,請參見使用跟蹤集投遞日誌

      建立跟蹤集時的關鍵配置項如下:

      • 管理事件類型:選擇全部。

      • 資源類型:選擇全部資源類型。

      • 投遞位置:選擇將事件投遞到Log ServiceCLS,將投遞的日誌主題配置為上述步驟中建立的日誌主題,並選中補齊近三個月(90天)事件

    3. 自訂一個權限原則ciemPolicy,並為需要接入Security Center的子帳號授權該自訂許可權。

      自訂權限原則的內容如下:

      ciemPolicy策略內容

      {
    "statement": [
        {
            "action": [
                "cls:OpenKafkaConsumer"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cls:${CLS 所在RegionID}:uin/${主帳號ID}:topic/${CLS TopicID}",
                "qcs::cls:${CLS 所在RegionID}:uin/${主帳號ID}:logset/${CLS 日誌集ID}"
            ]
        }
    ],
    "version": "2.0"
}

      您需要進入日誌主題的基本資料頁面,擷取日誌主題的詳細資料,替換上述策略中的資訊。

      • ${CLS TopicID}:填寫為日誌主題ID的取值。

      • ${CLS 日誌集ID}:填寫為所屬日誌集ID的取值。

      • ${CLS 所在RegionID}:填寫為地區取值對應的地區ID。

      • ${主帳號ID}:在控制台右上方單擊頭像,擷取主帳號ID。

    4. 擷取日誌主題的Kafka主題名稱、Kafka外網服務接入地址資訊和所屬日誌集ID,用於接入Security Center。

      • 進入日誌主題的基本資料頁面,擷取所屬日誌集ID

      • 進入Kafka協議消費頁面,擷取Kafka主題名稱和Kafka外網服務接入地址。具體操作,請參見Kafka 協議消費

    5. 在Security Center控制台接入云外资产面板的審計日志配置嚮導中,填寫通過上述步驟擷取的Kafka 主題名稱Kafka 服務地址日誌集合ID,並單擊下一步

    5. 配置接入策略

    1. 在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入的騰訊雲資產的地區、資料同步頻率等,單擊確定

      配置項

      說明

      選擇地區

      選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國全球(不含中國)),將當前帳號下的資產資料接入對應的管理中心。

      新增地區接入管理

      選中該項後,當前騰訊雲帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。

      不選中該項時,新增地區將不會被接入Security Center。

      主機資產同步頻率

      選擇Security Center自動同步騰訊雲主機資產的時間間隔。若選擇關閉,表示不同步。

      說明

      許可權說明選擇主機資產時,需要配置該參數。

      雲產品同步頻率

      選擇Security Center自動同步騰訊云云產品的時間間隔。若選擇關閉,表示不同步。

      說明

      許可權說明選擇雲安全態勢管理時,需要配置該參數。

      AK服務狀態檢查

      選擇Security Center自動檢測騰訊雲帳號API密鑰有效性的時間間隔。選擇關閉,表示不檢測。

    2. 單擊同步最新资产,將騰訊雲帳號下的所有資產同步到Security Center。

    快速配置方案(僅接入主機資產)

    1. 建立主帳號API密鑰

    具體操作,請參見主帳號存取金鑰管理

    1. 登入騰訊雲控制台,進入API密鑰管理 頁面。在API密鑰管理頁面,單擊建立密鑰

    2. 建立SecretKey對話方塊,單擊下載CSV檔案複製,儲存SecretId和SecretKey後,單擊確定

    2. 提交主帳號API密鑰

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇系統設定 > 功能設定。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    3. 多云配置管理 > 多云资产頁簽,單擊新增授权,在下拉式清單中選擇腾讯云

      您也可以通過以下任意入口,開啟接入云外资产面板。

      • 資產 > 主機資產頁面,將滑鼠移動至多雲資產接入地區image表徵圖處,並單擊腾讯云下方的接入

      • 風險治理 > 雲安全態勢管理頁面的雲產品配置風險頁簽,將滑鼠移動至多云云產品接入地區image表徵圖處,並單擊腾讯云下方的接入

      • 威脅分析與響應 > 產品接入頁面,將滑鼠移動至多雲產品接入地區image表徵圖處,並單擊腾讯云下方的接入授權

    4. 接入云外资产面板,選擇快速配置方案,單擊下一步

    5. 提交AK嚮導頁面,輸入已擷取的帳號API密鑰資訊和帳號名稱,並單擊下一步

      帳號名稱用於區分同一雲廠商下的不同賬戶資產,建議您根據其用途設定具有明確含義的名稱。

    重要

    完成上述操作後,Security Center會自動在騰訊雲控制台建立首碼為 AlibabaSasSubAccount_ 的子使用者,用於完成接入Security Center的授權。建議您不要刪除或禁用該使用者及API密鑰,以免影響騰訊雲資產接入。

    3. 配置接入策略

    1. 在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入的騰訊雲資產的地區、資料同步頻率等,單擊確定

      配置項

      說明

      選擇地區

      選擇需接入資產所屬地區,Security Center根據您在控制台左上方選擇的資料管理中心(中國內地非中國內地),將當前帳號下的資產資料接入對應的管理中心。

      新增地區接入管理

      選中該項後,當前騰訊雲帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入到當前所在的資料管理中心。

      不選中該項時,新增地區將不會被接入Security Center。

      主機資產同步頻率

      選擇Security Center自動同步騰訊雲主機資產的時間間隔。選擇關閉,表示不同步。

      AK服務狀態檢查

      選擇Security Center自動檢測騰訊雲子帳號API密鑰有效性的時間間隔。選擇關閉,表示不檢測。

    2. 單擊同步最新资产,將騰訊雲帳號下的所有資產同步到Security Center。

    4. 刪除主帳號密鑰

    在接入完成後,為了確保主帳號的安全,建議您參考下述步驟在騰訊雲控制台刪除授權使用的主帳號的API密鑰。Security Center已使用自動建立的子帳號完成授權操作,此時刪除主帳號的API金鑰組您使用Security Center的功能無影響。具體操作,請參見刪除主帳號 API 金鑰

    1. 在騰訊雲控制台API密鑰管理頁面,單擊在Security Center已提交的密鑰操作列的禁用

    2. 在提示對話方塊,單擊禁用

    3. API密鑰管理頁面,單擊目標密鑰操作列的刪除,完成刪除操作。

    接入結果驗證

    主機資產

    在Security Center控制台資產 > 主機資產頁面,在多雲資產接入地區單擊image表徵圖,查看接入的騰訊雲主機。更多資訊,請參見主機資產

    雲安全態勢管理

    在Security Center控制台資產 > 雲產品頁面,查看已通過API密鑰接入的騰訊雲產品列表。更多資訊,請參見查看雲產品資訊

    Agentic SOC

    在Security Center控制台系統設定 > 功能設定頁面的多云配置管理頁簽,查看Agentic SOC的服務狀態。若服務狀態顯示正常,則接入成功。

    image

    後續操作

    主機資產

    1. 為騰訊雲資產安裝Security Center用戶端。具體操作,請參見安裝用戶端

      重要

      在執行新增安裝命令操作時,服務商需選擇騰訊雲

    2. 免費版僅支援基礎的安全檢測,無安全防護能力。您可以為接入的騰訊雲端服務器綁定Security Center的付費防護版本(防病毒版、進階版、企業版或旗艦版),以便使用Security Center的安全防護能力。具體操作,請參見管理主機及容器安全授權數

    雲安全態勢管理

    1. 設定並執行雲平台配置風險檢查策略,檢查騰訊雲產品中是否存在配置風險。

    2. 查看並處理未通過的雲平台配置風險檢查項

    Agentic SOC

    您需要將騰訊雲Web Application Firewall、Cloud Firewall日誌接入,才能使用Agentic SOC提供的威脅檢測、安全事件處置等能力。將日誌接入的操作步驟如下:

    1. 將騰訊雲日誌接入Agentic SOC。

      1. 將待接入的日誌轉儲到指定雲產品

      2. 綁定第三方雲廠商帳號並設定資料來源

      3. 接入第三方雲產品日誌

    2. 使用Agentic SOC的威脅檢測、安全事件處置等能力

    相關文檔