为解决多云环境带来的安全管理分散、风险响应效率低下等问题,云安全中心支持接入天翼云账户。该功能可将不同云厂商的核心资产纳入统一管理,实现集中的风险监控、事件检测与策略执行,从而构建一致性的跨云安全防护体系。
步骤一:在天翼云创建授权凭证
为确保云安全中心能够安全地访问您的天翼云资产,您需要在天翼云的统一身份认证(IAM)控制台中,创建一个专用的用户组和用户,并为其授予精确的只读权限。
登录IAM控制台
登录天翼云控制台。
单击右上角的账号,在下拉页面选择账号中心。
在账号中心页面,单击导航栏的统一身份认证,跳转至IAM控制台。
创建用户组
在IAM控制台,选择左侧导航栏的用户组。
在用户组页面,单击右上角的创建用户组。
在创建弹窗中,设置用户组名称和描述。
用户组名称:可自定义,如"AliyunSAS-Integration"。
用户组描述:描述该用户组的用途,便于管理。
用户组授权
返回用户组列表页,单击创建的用户组操作列的授权按钮。
在选择策略页签,根据计划在云安全中心使用的功能,勾选对应的权限策略。
重要受天翼云授权机制限制,单次授权仅支持同一范围(“资源池级”或“全局级”)的策略。因此,当所需策略涉及不同范围时,需分步授权。
功能
策略方案
备注
云安全态势管理(CSPM)
ecs viewer:云主机服务-观察者权限,授权范围类型为资源池ctiam viewer:统一身份认证-观察者权限,授权范围类型为全局级”
两个策略范围不同,需分两次操作,分别完成授权。
为支持更多天翼云产品的风险检测,请参照附录:天翼云产品权限策略添加相应策略。
在设置最小授权范围页签,设置授权范围。
警告请谨慎评估后设置授权范围,系统默认设置全局资源。
ecs viewer支持以下三种范围:指定资源池:仅支持访问当前地域下的资源。
全局资源:可访问所有资源。
指定企业项目:可访问指定企业项目下的资源。
ctiam viewer支持以下两种范围:全局资源:可访问所有资源。
指定企业项目:可访问指定企业项目下的资源。
创建用户并加入用户组
在IAM控制台,单击左侧导航栏的用户。
在用户页面,单击右上角的创建用户。
在配置用户基本信息页签,参照如下说明完成配置后,单击下一步。
用户名称:可自定义,如"AliyunSAS-User"。
手机号:必填。
访问方式:OpenAPI访问。
说明若需登录控制台需求,可选择同时勾选控制台。
设置密码:自动生成密码。
在加入用户组页签,勾选步骤2中新建的用户组,然后单击添加,将其移至已选用户组列表中。
单击下一步。
创建保存密钥
返回用户列表,定位至上一步新建用户,单击操作列的查看。
在用户详情页的安全设置页签,单击AccessKey区域的创建AccessKey按钮。
创建完成的弹窗中,系统将显示AccessKey ID和SecurityKey。
警告请及时妥善保管访问密钥,弹窗关闭后不再显示对应的AK信息。
步骤二:在云安全中心完成接入
进入授权页面:
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权,然后选择天翼云。
配置接入凭证:
在接入云外资产面板的选择需要授权的模块区域,勾选需要的云安全中心服务模块,然后单击下一步。
说明当前仅支持云安全态势管理(CSPM)。
在提交AK页面,准确填写在天翼云创建的凭证信息。
请输入子账号SecretID和请输入子账号SecretKey:输入前面步骤一中获得的访问密钥信息。
Domain (中国区选中国版,其他选国际版):选择天翼云账号所在区域。
填写完毕后,单击下一步,系统将自动校验凭证和权限。
说明验证失败,请参考填写完AK后,自动校验凭证和权限失败怎么办?
配置同步策略:
选择地域:选择需要接入的天翼云资产所属的地域。
说明同步的资产数据将归属于云安全中心控制台左上角所选区域对应的数据中心。
中国内地:中国内地数据中心。
非中国内地:新加坡数据中心。
新增地域接入管理:建议勾选。勾选后,该天翼云账号下未来新增地域内的资产将自动同步,无需手动添加。
AK服务状态检查:设置云安全中心自动检查天翼云账号API密钥有效性的时间间隔。可选"关闭",表示不进行检测。
完成配置后,单击同步最新资产,系统将自动将天翼云账号下的资产同步到云安全中心。
步骤三:查看与管理已接入的资产
在云安全中心控制台页面,左侧全部云产品导航中,单击天翼云,可查看接入的天翼云资产。更多信息,请参考查看云产品信息。
运维与安全管理
密钥轮换
为保障账户安全,建议定期轮换用于集成的访问密钥(AK)。
在天翼云 IAM控制台 为专用IAM用户创建一个新的AccessKey。
在云安全中心 页面,找到对应的天翼云账号,单击编辑,将AK/SK更新为新创建的凭证。
验证新密钥可以正常同步资产后,返回天翼云IAM控制台,删除旧的AccessKey。
更新授权范围
若需接入新的天翼云产品(例如,新购的分布式缓存Redis)纳入云安全中心管理时,需要为其更新授权。
在天翼云 IAM控制台,找到专用的用户组,为其授予新产品对应的权限策略(例如
分布式缓存Redis viewer)。更多策略介绍,可参考附录:天翼云产品权限策略云安全中心会在下一次同步周期中自动发现并纳管新授权的资产。也可以在页面手动触发同步最新资产。
删除接入
如果您不再需要通过云安全中心管理某个天翼云账号,可以将其删除。
在云安全中心 多云配置管理 页面,找到需要删除的天翼云账号,单击删除。
删除后,云安全中心将停止对该账号下所有资产的监控和风险扫描,相关资产信息将不再显示。
为安全起见,建议同时在天翼云IAM控制台删除或禁用专用的IAM用户。
附录:天翼云产品权限策略
云安全中心支持的天翼云产品将持续更新,更多产品支持请以控制台为准。
策略名称 | 权限说明 |
| 分布式消息服务Kafka CTIAM 产品默认浏览者策略。 |
| 【分布式缓存服务Redis】-只读用户策略,对实例资源仅拥有只读权限。 |
| 对象存储服务-观察者权限。 |
| 只读访问分布式消息服务RocketMQ-MQ2的权限。 |
| 负载均衡-管理者权限。 |
| 弹性块存储-观察者权限。 重要 在设置最小授权范围时,授权范围需选择指定企业项目。 |
| 云主机服务-使用者权限。 |
常见问题
为什么在云安全中心看不到部分接入的天翼云资源?
区域未选择:在云安全中心的接入配置中,检查是否已勾选该资源所在的天翼云区域。
同步延迟:首次接入或配置变更后,资产同步可能存在一定延迟,请等待同步完成。
权限不足:确认提供的访问密钥具有足够的只读权限来查询云资源信息。
填写完AK后,自动校验凭证和权限失败怎么办?
权限问题:访问密钥权限不足,请参考在天翼云控制台创建授权凭证,修改或补充相关用户权限策略。
账号问题:请确认访问密钥有效且未过期。
地域问题:当前选择的Domain (中国区选中国版,其他选国际版)与账号所在地域不一致,请切换至其他可用地域,然后重新提交。
添加天翼云访问策略时,无法勾选策略?
原因:因天翼云操作限制,单次授权只允许选择授权范围为“资源池” 或“全局级”策略中其中一种。
解决方案:分别两次进行授权操作,分别填写策略即可。