為解決多雲環境帶來的安全管理分散、風險響應效率低下等問題,Security Center支援接入天翼雲賬戶。該功能可將不同雲廠商的核心資產納入統一管理,實現集中的風險監控、事件檢測與策略執行,從而構建一致性的跨雲安全防護體系。
步驟一:在天翼雲建立授權憑證
為確保Security Center能夠安全地訪問您的天翼雲資產,您需要在天翼雲的統一身份認證(IAM)控制台中,建立一個專用的使用者組和使用者,並為其授予精確的唯讀許可權。
登入IAM控制台
登入天翼雲控制台。
單擊右上方的帳號,在下拉頁面選擇帳號中心。
在帳號中心頁面,單擊導覽列的統一身份認證,跳轉至IAM控制台。
建立使用者組
在IAM控制台,選擇左側導覽列的使用者組。
在使用者組頁面,單擊右上方的建立使用者組。
在建立彈窗中,設定使用者組名稱和描述。
使用者組名稱:可自訂,如"AliyunSAS-Integration"。
使用者組描述:描述該使用者組的用途,便於管理。
使用者組授權
返回使用者組列表頁,單擊建立的使用者組操作列的授權按鈕。
在選擇策略頁簽,根據計劃在Security Center使用的功能,勾選對應的權限原則。
重要受天翼雲授權機制限制,單次授權僅支援同一範圍(“資源集區級”或“全域級”)的策略。因此,當所需策略涉及不同範圍時,需分步授權。
功能
策略方案
備忘
雲安全態勢管理(CSPM)
ecs viewer:雲主機服務-觀察者許可權,授權範圍類型為資源集區ctiam viewer:統一身份認證-觀察者許可權,授權範圍類型為全域級”
兩個策略範圍不同,需分兩次操作,分別完成授權。
為支援更多天翼雲產品的風險檢測,請參照附錄:天翼雲產品權限原則添加相應策略。
在設定最小授權範圍頁簽,設定授權範圍。
警告請謹慎評估後設定授權範圍,系統預設設定全域資源。
ecs viewer支援以下三種範圍:指定資源集區:僅支援訪問當前地區下的資源。
全域資源:可訪問所有資源。
指定企業專案:可訪問指定企業專案下的資源。
ctiam viewer支援以下兩種範圍:全域資源:可訪問所有資源。
指定企業專案:可訪問指定企業專案下的資源。
建立使用者並加入使用者組
在IAM控制台,單擊左側導覽列的使用者。
在使用者頁面,單擊右上方的建立使用者。
在配置使用者基本資料頁簽,參照如下說明完成配置後,單擊下一步。
使用者名稱稱:可自訂,如"AliyunSAS-User"。
手機號:必填。
訪問方式:OpenAPI訪問。
說明若需登入控制台需求,可選擇同時勾選控制台。
設定密碼:自動產生密碼。
在加入使用者組頁簽,勾選步驟2中建立的使用者組,然後單擊添加,將其移至已選使用者組列表中。
單擊下一步。
建立儲存密鑰
返回使用者列表,定位至上一步建立使用者,單擊操作列的查看。
在使用者詳情頁的安全設定頁簽,單擊AccessKey地區的建立AccessKey按鈕。
建立完成的彈窗中,系統將顯示AccessKey ID和SecurityKey。
警告請及時妥善保管存取金鑰,彈窗關閉後不再顯示對應的AK資訊。
步驟二:在Security Center完成接入
進入授權頁面:
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在頁簽,單擊新增授权,然後選擇天翼雲。
配置接入憑證:
在接入云外资产面板的選擇需要授權的模組地區,勾選需要的Security Center服務模組,然後單擊下一步。
說明當前僅支援雲安全態勢管理(CSPM)。
在提交AK頁面,準確填寫在天翼雲建立的憑證資訊。
请输入子账号SecretID和请输入子账号SecretKey:輸入前面步驟一中獲得的存取金鑰資訊。
Domain (中國區選中國版,其他選國際版):選擇天翼雲帳號所在地區。
填寫完畢後,單擊下一步,系統將自動校正憑證和許可權。
說明驗證失敗,請參考填寫完AK後,自動校正憑證和許可權失敗怎麼辦?
配置同步策略:
選擇地區:選擇需要接入的天翼雲資產所屬的地區。
說明同步的資產資料將歸屬於Security Center控制台左上方所選地區對應的資料中心。
中國內地:中國內地資料中心。
非中國內地:新加坡資料中心。
新增地區接入管理:建議勾選。勾選後,該天翼雲帳號下未來新增地區內的資產將自動同步,無需手動添加。
AK服務狀態檢查:設定Security Center自動檢查天翼雲帳號API密鑰有效性的時間間隔。可選"關閉",表示不進行檢測。
完成配置後,單擊同步最新资产,系統將自動將天翼雲帳號下的資產同步到Security Center。
步驟三:查看與管理已接入的資產
在Security Center控制台頁面,左側全部雲產品導航中,單擊天翼雲,可查看接入的天翼雲資產。更多資訊,請參考查看雲產品資訊。
營運與安全管理
密鑰輪換
為保障賬戶安全,建議定期輪換用於整合的存取金鑰(AK)。
在天翼雲 IAM控制台 為專用IAM使用者建立一個新的AccessKey。
在Security Center 頁面,找到對應的天翼雲帳號,單擊編輯,將AK/SK更新為新建立的憑證。
驗證新密鑰可以正常同步資產後,返回天翼雲IAM控制台,刪除舊的AccessKey。
更新授權範圍
若需接入新的天翼雲產品(例如,新購的分布式緩衝Redis)納入Security Center管理時,需要為其更新授權。
在天翼雲 IAM控制台,找到專用的使用者組,為其授予新產品對應的權限原則(例如
分布式緩衝Redis viewer)。更多策略介紹,可參考附錄:天翼雲產品權限原則Security Center會在下一次同步周期中自動探索並納管新授權的資產。也可以在頁面手動觸發同步最新資產。
刪除接入
如果您不再需要通過Security Center管理某個天翼雲帳號,可以將其刪除。
在Security Center 多雲組態管理 頁面,找到需要刪除的天翼雲帳號,單擊刪除。
刪除後,Security Center將停止對該帳號下所有資產的監控和風險掃描,相關資產資訊將不再顯示。
為安全起見,建議同時在天翼雲IAM控制台刪除或禁用專用的IAM使用者。
附錄:天翼雲產品權限原則
Security Center支援的天翼雲產品將持續更新,更多產品支援請以控制台為準。
策略名稱稱 | 許可權說明 |
| 分布式Message ServiceKafka CTIAM 產品預設瀏覽者策略。 |
| 【分布式快取服務Redis】-唯讀使用者策略,對執行個體資源僅擁有隻讀許可權。 |
| Object Storage Service服務-觀察者許可權。 |
| 唯讀訪問分布式Message ServiceRocketMQ-MQ2的許可權。 |
| 負載平衡-管理者許可權。 |
| 彈性Block Storage-觀察者許可權。 重要 在設定最小授權範圍時,授權範圍需選擇指定企業專案。 |
| 雲主機服務-使用者許可權。 |
常見問題
為什麼在Security Center看不到部分接入的天翼雲資源?
地區未選擇:在Security Center的接入配置中,檢查是否已勾選該資源所在的天翼雲地區。
同步延遲:首次接入或配置變更後,資產同步可能存在一定延遲,請等待同步完成。
許可權不足:確認提供的存取金鑰具有足夠的唯讀許可權來查詢雲資源資訊。
填寫完AK後,自動校正憑證和許可權失敗怎麼辦?
許可權問題:存取金鑰許可權不足,請參考在天翼雲控制台建立授權憑證,修改或補充相關使用者權限策略。
帳號問題:請確認存取金鑰有效且未到期。
地區問題:當前選擇的Domain (中國區選中國版,其他選國際版)與帳號所在地區不一致,請切換至其他可用地區,然後重新提交。
添加天翼雲存取原則時,無法勾選策略?
原因:因天翼雲操作限制,單次授權只允許選擇授權範圍為“資源集區” 或“全域級”策略中其中一種。
解決方案:分別兩次進行授權操作,分別填寫策略即可。