文档首页> 企业主机安全(旧版)HSS> 用户指南> 权限管理> HSS授权项说明
更新时间:2023-02-16 GMT+08:00
查看PDF

HSS授权项说明

如果您需要对您所拥有的HSS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用HSS服务的其它功能。

默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。

权限根据授权的精细程度,分为角色策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。

支持的授权项

策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:

  • 权限:允许或拒绝某项操作。
  • 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
  • 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
  • IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。

“√”表示支持,“x”表示暂不支持。

企业主机安全服务(HSS)支持的自定义策略授权项如下所示:

授权列表

权限

授权项

依赖的授权项

IAM项目(Project)

企业项目(Enterprise Project)

查询主机安全防护列表

hss:hosts:list

vpc:ports:get

vpc:publicIps:list

ecs:cloudServers:list

云服务器开启或关闭防护

hss:hosts:switchVersion

-

手动检测

hss:hosts:manualDetect

-

手动检测返回检测状态

hss:manualDetectStatus:get

-

查询弱口令检测报告

hss:weakPwds:list

-

查询帐户破解防护报告

hss:accountCracks:list

-

帐户破解防护解除拦截IP

hss:accountCracks:unblock

-

查询恶意程序检测报告

hss:maliciousPrograms:list

-

查询异地登录检测报告

hss:abnorLogins:list

-

查询关键文件变更报告

hss:keyfiles:list

-

查询开放端口信息列表

hss:ports:list

-

查询漏洞列表

hss:vuls:list

-

批量操作漏洞

hss:vuls:operate

-

查询帐号信息列表

hss:accounts:list

-

查询软件信息列表

hss:softwares:list

-

查询Web路径列表

hss:webdirs:list

-

查询进程信息列表

hss:processes:list

-

查询配置检测报告

hss:configDetects:list

-

查询网站后门检测报告

hss:webshells:list

-

查询风险帐号检测报告

hss:riskyAccounts:list

-

云服务器风险统计

hss:riskyDashboard:get

-

查询口令复杂度策略检测报告

hss:complexityPolicys:list

-

批量操作恶意程序

hss:maliciousPrograms:operate

-

批量操作开放端口

hss:ports:operate

-

操作配置检测风险

hss:configDetects:operate

-

批量操作网站后门

hss:webshells:operate

-

设置常用登录地

hss:commonLocations:set

-

查询常用登录地

hss:commonLocations:list

-

设置常用登录IP

hss:commonIPs:set

-

查询常用登录IP

hss:commonIPs:list

-

设置登录IP白名单

hss:whiteIps:set

-

查询登录IP白名单

hss:whiteIps:list

-

设置自定义弱口令

hss:weakPwds:set

-

查询自定义弱口令

hss:weakPwds:get

-

设置Web路径

hss:webDirs:set

-

查询Web路径

hss:webDirs:get

-

查询双因子认证服务器列表

hss:twofactorAuth:list

-

设置双因子认证

hss:twofactorAuth:set

-

开启或关闭恶意程序自动隔离查杀

hss:automaticKillMp:set

-

查询恶意程序自动隔离查杀

hss:automaticKillMp:get

-

订阅安全报告

hss:safetyReport:set

-

查询安全报告

hss:safetyReport:list

-

查询包周期配额

hss:quotas:get

-

购买配额

hss:quotas:set

-

查询Agent下载地址

hss:installAgent:get

-

卸载Agent

hss:agent:uninstall

-

查询主机安全告警

hss:alertConfig:get

-

设置主机安全告警

hss:alertConfig:set

-

查询网页防篡改防护列表

hss:wtpHosts:list

vpc:ports:get

vpc:publicIps:list

ecs:cloudServers:list

开启或关闭网页防篡改

hss:wtpProtect:switch

-

设置备份服务器

hss:wtpBackup:set

-

查询备份服务器

hss:wtpBackup:get

-

设置防护目录

hss:wtpDirectorys:set

-

查询防护目录列表

hss:wtpDirectorys:list

-

查询网页防篡改防护记录

hss:wtpReports:list

-

设置特权进程

hss:wtpPrivilegedProcess:set

-

查询特权进程列表

hss:wtpPrivilegedProcesses:list

-

设置防护模式

hss:wtpProtectMode:set

-

查询防护模式

hss:wtpProtectMode:get

-

设置防护文件系统

hss:wtpFilesystems:set

-

查询防护文件系统列表

hss:wtpFilesystems:list

-

设置定时关闭防护

hss:wtpScheduledProtections:set

-

查询定时关闭防护设置

hss:wtpScheduledProtections:get

-

设置网页防篡改告警

hss:wtpAlertConfig:set

-

查询网页防篡改告警

hss:wtpAlertConfig:get

-

查询网页防篡改统计信息

hss:wtpDashboard:get

-

查询策略组信息

hss:policy:get

-

设置策略组信息

hss:policy:set

-

查询程序运行认证

hss:ars:get

-

设置程序运行认证

hss:ars:set

-

查询入侵检测事件列表

hss:event:get

-

入侵检测事件操作

hss:event:set

-

查询服务器分组信息

hss:hostGroup:get

-

设置服务器组

hss:hostGroup:set

-

文件完整性管理

hss:keyfiles:set

-

查询关键文件变更报告

hss:keyfiles:list

-

查询自启动列表

hss:launch:list

-

父主题: 权限管理