RAM用户自定义权限最佳实践 - 最佳实践| 阿里云

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略，同时支持用户自定义访问控制策略。系统策略由阿里云默认创建，不支持修改。

说明云安全中心支持的默认策略为AliyunYundunSASFullAccess（表示允许RAM用户对云安全中心的所有功能进行操作）和AliyunYundunSASReadOnlyAccess（表示允许RAM用户只读访问云安全中心的所有数据）。

如果您需要对RAM用户访问和操作云产品进行更精确地限制，您可以使用自定义权限（即RAM Policy）。

本文以自定义资产中心的权限为例，介绍自定义权限策略配置的流程。建议您提前了解权限策略的相关信息，更多信息，请参见权限策略语法和结构。有关访问控制的基本概念介绍，请参见基本概念。

前提条件

已创建RAM用户。更多信息，请参见创建RAM用户。

步骤一：创建云安全中心自定义权限策略

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。
在脚本编辑页签下，根据要自定义的权限策略类型配置策略内容。
配置脚本如下：
- 授权RAM用户资产中心只读权限
  以下策略表示授予RAM用户只读资产中心的资产列表、服务器各项统计数据、资产列表的权限，您可以通过设置yundun-sas:DescribeCloudCenterInstances、yundun-sas:DescribeFieldStatistics和yundun-sas:DescribeCriteria来进行授权。
```
{
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "yundun-sas:DescribeCloudCenterInstances",
                     "yundun-sas:DescribeFieldStatistics",
                     "yundun-sas:DescribeCriteria"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
- 授予RAM用户资产中心安全检查的权限
  以下策略表示授权RAM用户（在步骤二中绑定对应的RAM账户完成授权）执行资产中心安全检查的权限。您可以通过设置yundun-sas:ModifyPushAllTask来进行该授权。
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": "yundun-sas:ModifyPushAllTask",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
- 授权RAM用户漏洞修复只读权限
  以下策略表示授予RAM用户（在步骤二中绑定对应的RAM账户完成授权）只读漏洞修复的漏洞列表、漏洞白名单的权限，您可以通过设置yundun-aegis:DescribeVulList和yundun-sas:DescribeVulWhitelist来进行授权。
```
{
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "yundun-aegis:DescribeVulList",
                     "yundun-sas:DescribeVulWhitelist"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
- 授予RAM用户修复漏洞的权限
  以下策略表示授权RAM用户（在步骤二中绑定对应的RAM账户完成授权）允许执行漏洞修复的权限。您可以通过设置yundun-aegis:OperateVul来进行该授权。
```
{
    "Version": "1",
    "Statement": [
        {
           "Action": "yundun-aegis:OperateVul",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
单击下一步：编辑基本信息，然后输入权限策略的名称和备注。
单击确定。

步骤二：为RAM用户授权

使用阿里云账号登录RAM控制台。
在左侧导航栏选择权限管理 > 授权。
在授权页面，单击新增授权。
在授权主体区域，选择需要授权的RAM用户。
新创建的RAM用户默认不支持任何权限。
在选择权限区域，选择自定义策略，并选择在步骤一中创建的云安全中心自定义策略，单击确定，然后单击完成。

支持自定义权限策略的操作

以下各表格介绍了云安全中心主要的功能模块支持的自定义权限策略：

资产中心


RAM权限策略Action	描述	支持的API
yundun-sas:DescribeCloudCenterInstances	查询资产列表信息。包括资产的类型、是否存在安全告警、客户端在线状态等。	DescribeCloudCenterInstances
yundun-sas:DescribeFieldStatistics	查询您资产中服务器的统计信息。	DescribeFieldStatistics
yundun-sas:DescribeCriteria	获取查询资产时，输入的模糊匹配值对应的查询条件信息。	DescribeCriteria
yundun-sas:ModifyPushAllTask	对服务器执行安全检查任务。	ModifyPushAllTask
yundun-sas:DescribeDomainCount	获取域名资产的数量。	DescribeDomainCount
yundun-sas:DeleteGroup	删除资产的分组。	DeleteGroup
yundun-sas:DescribeSearchCondition	查询资产的筛选条件。	DescribeSearchCondition
yundun-sas:DescribeImageStatistics	查询容器镜像资产的风险统计信息。	DescribeImageStatistics
yundun-sas:DescribeGroupedTags	查询资产标签的统计信息。	DescribeGroupedTags
yundun-sas:DescribeDomainCount	获取域名资产数量。	DescribeDomainCount
yundun-sas:DescribeCloudProductFieldStatistics	获取云产品统计信息。	DescribeCloudProductFieldStatistics
yundun-sas:DescribeCloudCenterInstances	查询资产信息。	DescribeCloudCenterInstances
yundun-sas:DescribeAllGroups	查询所有服务器分组信息。	DescribeAllGroups
yundun-sas:DeleteGroup	删除服务器分组。	DeleteGroup
yundun-sas:CreateOrUpdateAssetGroup	创建服务器分组或修改服务器分组下的服务器。	CreateOrUpdateAssetGroup
yundun-sas:DescribeInstanceStatistics	查询资产的风险统计信息。	DescribeInstanceStatistics
yundun-sas:PauseClient	启用或暂停Agent客户端。	PauseClient
yundun-sas:ModifyTagWithUuid	修改资产的标签名称或修改指定标签下包含的资产。	ModifyTagWithUuid
yundun-sas:RefreshAssets	同步最新资产。	RefreshAssets
yundun-sas:ExportRecord	导出资产中心、云平台配置检查、镜像安全扫描、攻击分析、AK泄露检测等页面的检测结果的Excel文件。	ExportRecord
yundun-sas:DescribeExportInfo	查看资产导出任务的进度。	DescribeExportInfo
yundun-sas:DescribeDomainList	查询域名资产信息列表。	DescribeDomainList
yundun-sas:DescribeDomainDetail	获取域名资产详情。	DescribeDomainDetail
yundun-aegis:DescribeAssetDetailByUuid	使用资产的UUID查询资产的详情。	DescribeAssetDetailByUuid

漏洞修复


RAM权限策略Action	描述	支持的API
yundun-sas:DescribeVulWhitelist	分页查询漏洞白名单。	DescribeVulWhitelist
yundun-sas:ModifyOperateVul	对检测到的漏洞进行处理，处理方式包括修复、验证、忽略等。	ModifyOperateVul
yundun-sas:ModifyVulTargetConfig	设置单台服务器的漏洞检测配置。	ModifyVulTargetConfig
yundun-aegis:DescribeConcernNecessity	查询关注的漏洞修复必要性信息。	DescribeConcernNecessity
yundun-aegis:DescribeVulList	根据漏洞类型查询对应漏洞信息。	DescribeVulList
yundun-aegis:ModifyOperateVul	对检测到的漏洞进行处理，处理方式包括修复、验证、忽略等。	ModifyOperateVul
yundun-aegis:DescribeImageVulList	查看镜像安全扫描的漏洞的详情及受漏洞影响容器镜像的信息列表。	DescribeImageVulList
yundun-aegis:ExportVul	导出漏洞列表。	ExportVul
yundun-aegis:DescribeVulExportInfo	查看漏洞导出任务的进度。	DescribeVulExportInfo

说明多数情况下RAM自定义权限策略中的Action与该云产品的API一一对应，但也有例外。