本文为您介绍如何创建、查看和删除云安全中心服务关联角色。
概述
服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。云安全中心提供的服务关联角色如下表所示。| 服务关联角色 | 云服务标识 | 权限策略 |
|---|---|---|
| AliyunServiceRoleForSas | sas.aliyuncs.com | AliyunServiceRolePolicyForSas |
| AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | AliyunServiceRolePolicyForSasCspm |
| AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | AliyunServiceRolePolicyForSasRd |
更多信息,请参见服务关联角色。
AliyunServiceRoleForSas
应用场景
AliyunServiceRoleForSas的应用场景如下:
- 用于允许云安全中心访问容器镜像服务、RDS数据库等云产品中的资源,以便检测您的容器资产中存在的安全风险。
- 用于允许云安全中心访问专有网络VPC、云服务器ECS等云产品中的资源,以便云蜜罐功能为您提供云内外的攻击发现、攻击溯源能力。
- 用于允许云安全中心访问云服务器ECS等云产品中的资源,以便防暴力破解功能防止您服务器的账号密码被暴力破解。
- 用于允许云安全中心访问日志分析等云产品中的资源,以便日志分析功能为您提供日志查询和日志分析能力。
- 用于允许云安全中心访问混合云备份、云服务器ECS等云产品中的资源,以便防勒索功能为您提供勒索病毒防护和数据备份能力。
- 用于允许云安全中心访问资源目录等云产品中的资源(适用于企业管理员和委派管理员账号),以便多账号安全管理功能为您提供统一管控多个成员账号安全风险的能力。
创建服务关联角色
| 功能模块 | 具体功能 |
|---|---|
| 容器安全 |
|
| 主机安全 |
|
| 检测响应 | 日志分析 |
| 其他配置 |
|
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:
- 基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
- 权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。 - 信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。
AliyunServiceRoleForSasCloudSiem
应用场景
AliyunServiceRoleForSasCloudSiem用来允许云安全中心访问专有网络VPC、云防火墙等云产品中的资源,以便威胁分析功能检测您已接入的云产品的日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。
创建服务关联角色
首次使用威胁分析功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析功能访问云资源。
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:
- 基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
- 权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。 - 信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。
AliyunServiceRoleForSasCspm
应用场景
AliyunServiceRoleForSasCspm用来允许云安全中心访问您在操作审计等云产品中的资源,以便云平台配置检查功能为您提供云平台配置检测能力。
创建服务关联角色
首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:
- 基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
- 权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。 - 信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。
AliyunServiceRoleForSasRd
应用场景
AliyunServiceRoleForSasRd用来在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。
创建服务关联角色
企业管理账号或委派管理员账号使用多账号安全管理功能将资源目录成员账号添加至监控账号列表后,自动在资源目录成员账号下创建服务关联角色AliyunServiceRoleForSasRd。
查看服务关联角色
当服务关联角色创建成功后,您可以使用资源目录成员账号在RAM控制台的角色页面查看该服务关联角色的以下信息:
- 基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
- 权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。 - 信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
删除服务关联角色
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要使用资源目录成员账号在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。