通过在阿里云云安全中心配置火山引擎子账号Access Key(简称AK),可将火山引擎主机资产自动同步至阿里云安全防护体系。本文详解通过AK方式完成火山引擎主机资产接入的具体配置流程,帮助您实现跨云资产的集中安全管控,降低多云环境下的安全管理复杂度。
配置方案
本文包含的所有在火山引擎控制台的操作步骤仅供参考,具体操作步骤请参见下文中的火山引擎文档链接。
配置方案 | 方案说明 | 支持的功能 |
提交火山引擎主账号AK后,云安全中心自动创建子账号并完成接入授权。 | 主机资产 | |
自行在火山引擎创建子账号并授权所需权限,之后在云安全中心提交子账号AK完成授权。 | 主机资产、云安全态势管理(CSPM) |
快速配置方案
1. 新建主账号密钥
具体操作,请参见API访问密钥管理。
登录火山引擎控制台,进入API访问密钥页面。在AK泄露检测页面,单击新建密钥。
在新建密钥对话框,单击继续,根据提示完成身份认证。
在新建密钥成功对话框,单击下载凭证。
请保存已下载的文件中的AccessKeyId和SecretAccessKey信息。
2. 提交主账号AK
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权,在下拉列表中选择火山引擎。
您也可以在页面,将鼠标移动至多云资产接入区域
图标处,并单击火山引擎下方的接入,打开接入云外资产面板。在接入云外资产面板,选择快速配置方案,单击下一步。
在提交AK向导页面,输入已获取的账号AccessKeyId、SecretAccessKey和账号名称,并单击下一步。
账号名称用于区分同一云厂商下的不同账户资产,建议您根据其用途设置具有明确含义的名称。
3. 完成接入策略配置
在云安全中心控制台接入云外资产面板的策略配置向导中,配置需接入的火山引擎资产的地域、数据同步频率等,单击确定。
配置项
说明
选择地域
选择需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国或全球(不含中国)),将当前账号下的资产数据接入对应的管理中心。
新增地域接入管理
选中该项后,当前火山引擎账号下如果有新增地域,云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。
不选中该项时,新增地域将不会被接入云安全中心。
主机资产同步频率
选择云安全中心自动同步火山引擎主机资产的时间间隔。选择关闭,表示不同步。
AK服务状态检查
选择云安全中心自动检测火山云账号AccessKey有效性的时间间隔。选择关闭,表示不检测。
单击同步最新资产,将火山引擎账号下的所有主机资产同步到云安全中心。
完成接入策略配置后,云安全中心会自动在火山引擎控制台创建前缀为AlibabaSas_的用户,用于完成接入云安全中心的授权。建议您不要删除或禁用该用户及其密钥,以免影响火山云资产接入。
4. 删除主账号密钥
在接入完成后,为了确保主账号的安全,建议您参考下述步骤在火山引擎控制台删除授权使用的主账号的Access Key。具体操作,请参见API访问密钥管理。
登录火山引擎控制台,进入API访问密钥页面。单击在云安全中心已提交的Access Key操作列的禁用。
在请确认该 AK 已被禁用?对话框,单击确定。根据控制台提示完成身份认证操作。
在AK泄露检测页面,单击目标Access Key操作列的删除,根据控制台提示完成删除操作。
手动配置方案
1. 创建子账号并获取AK
具体操作,请参见用户管理。
登录火山引擎控制台,进入用户页面。在用户页面,单击新增。
在创建用户页面,单击通过用户名创建。
在通过用户名创建页面,填写用户名,选择登录设置为编程访问,单击下一步。
配置接入策略:在接入策略页签,根据计划在云安全中心使用的功能,勾选对应的权限策略后单击下一步。
功能
权限策略
主机资产
IAMReadOnlyAccessECSReadOnlyAccess云安全态势管理(CSPM)
ALBReadOnlyAccessAdvDefenceReadOnlyCLBReadOnlyAccessCRReadOnlyAccessCloudFirewallReadOnlyAccessCloudIdentityReadOnlyAccessECSReadOnlyAccessHBaseReadOnlyAccessIAMReadOnlyAccessKMSReadOnlyAccessMCDNReadOnlyAccessMongoDBReadOnlyAccessNATReadOnlyAccessRDSMSSQLReadOnlyAccessRDSMySQLReadOnlyAccessRDSPGReadOnlyAccessRedisReadOnlyAccessSecCenterReadOnlyAccessTOSReadOnlyAccessVBHReadOnlyAccessVKEReadOnlyAccessVPCReadOnlyAccessVedbMysqlReadOnlyAccessVeenReadOnlyAccessWafReadOnlyAccessAgentKitReadOnlyAccessIDReadOnlyAccessArkReadOnlyAccess说明也可设置全局只读
ReadOnlyAccess策略,避免新增的资产和属性因未及时进行权限设置,导致CSPM无法检测。确认用户信息后,单击绑定账号,并前往绑定数据源。
在用户信息区域,单击保存并下载csv或
图标,保存Access Key ID和Secret Access Key。
2. 提交子账号AK
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权,在下拉列表中选择火山引擎。
您也可以在页面,将鼠标移动至多云资产接入区域
图标处,并单击火山引擎下方的接入,打开接入云外资产面板。在接入云外资产面板,保持默认选择手动配置方案,在权限说明区域选中主机资产,单击下一步。
在提交AK向导页面,输入已获取的子账号AccessKeyId、SecretAccessKey和账号名称,并单击下一步。
账号名称用于区分同一云厂商下的不同账户资产,建议您根据其用途设置具有明确含义的名称。
重要请勿删除或禁用子账号及其AccessKey,以免影响接入。
3. 完成接入策略配置
在云安全中心控制台接入云外资产面板的策略配置向导中,配置需接入的火山引擎资产的地域、数据同步频率等,单击确定。
配置项
说明
选择地域
选择需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国或全球(不含中国)),将当前账号下的资产数据接入对应的管理中心。
新增地域接入管理
选中该项后,当前火山引擎账号下如果有新增地域,云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。
不选中该项时,新增地域将不会被接入云安全中心。
主机资产同步频率
选择云安全中心自动同步火山引擎主机资产的时间间隔。选择关闭,表示不同步。
AK服务状态检查
选择云安全中心自动检测火山云账号AccessKey有效性的时间间隔。选择关闭,表示不检测。
单击同步最新资产,将火山引擎账号下的所有主机资产同步到云安全中心。
管理已接入的资产
主机资产
前往页面,在多云资产接入区域单击图标,可查看接入的火山引擎资产列表。可参考如下步骤,对已接入的 主机,进行深度防护和管理。
更多信息,请参考主机资产
安装客户端:为AWS主机安装云安全中心客户端,在执行安装命令时,服务商需选择 AWS。具体操作,请参考安装客户端。
升级版本获取防护:默认的免费版仅提供基础安全检测。为获得完整的安全防护能力(如防病毒、漏洞修复、入侵防御等),请为 AWS 主机绑定付费版本(防病毒版及以上),具体操作,请参考管理主机及容器安全授权数。
云安全态势管理(CSPM)
在云安全中心控制台页面,左侧全部云产品导航中,单击AWS,可查看接入的AWS资产。已接入的 AWS 资产可使用CSPM如下功能:
更多信息,请参考查看云产品信息。
执行配置风险检查:检查AWS产品中是否存在配置风险,具体操作,请参考设置并执行云平台配置风险检查策略,
处理风险项:根据检查结果,查看并修复未通过的风险检查项,提升云上资产的合规性与安全性。具体操作,请参考查看并处理未通过的云平台配置风险检查项。