HSS授权项说明
如果您需要对您所拥有的HSS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用HSS服务的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
企业主机安全(HSS)支持的自定义策略授权项如下所示:
授权列表,包含HSS对应的授权项,如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。
授权列表
|
权限 |
授权项 |
依赖的授权项 |
|---|---|---|
|
查询主机安全防护列表 |
hss:hosts:list |
vpc:ports:get vpc:publicIps:list ecs:cloudServers:list |
|
云服务器开启或关闭防护 |
hss:hosts:switchVersion |
- |
|
手动检测 |
hss:hosts:manualDetect |
- |
|
手动检测返回检测状态 |
hss:manualDetectStatus:get |
- |
|
查询弱口令检测报告 |
hss:weakPwds:list |
- |
|
查询账户破解防护报告 |
hss:accountCracks:list |
- |
|
账户破解防护解除拦截IP |
hss:accountCracks:unblock |
- |
|
查询恶意程序检测报告 |
hss:maliciousPrograms:list |
- |
|
查询异地登录检测报告 |
hss:abnorLogins:list |
- |
|
查询关键文件变更报告 |
hss:keyfiles:list |
- |
|
查询开放端口信息列表 |
hss:ports:list |
- |
|
查询漏洞列表 |
hss:vuls:list |
- |
|
批量操作漏洞 |
hss:vuls:operate |
- |
|
查询账号信息列表 |
hss:accounts:list |
- |
|
查询软件信息列表 |
hss:softwares:list |
- |
|
查询Web路径列表 |
hss:webdirs:list |
- |
|
查询进程信息列表 |
hss:processes:list |
- |
|
查询配置检测报告 |
hss:configDetects:list |
- |
|
查询网站后门检测报告 |
hss:Webshells:list |
- |
|
查询风险账号检测报告 |
hss:riskyAccounts:list |
- |
|
云服务器风险统计 |
hss:riskyDashboard:get |
- |
|
查询口令复杂度策略检测报告 |
hss:complexityPolicys:list |
- |
|
批量操作恶意程序 |
hss:maliciousPrograms:operate |
- |
|
批量操作开放端口 |
hss:ports:operate |
- |
|
操作配置检测风险 |
hss:configDetects:operate |
- |
|
批量操作网站后门 |
hss:Webshells:operate |
- |
|
设置常用登录地 |
hss:commonLocations:set |
- |
|
查询常用登录地 |
hss:commonLocations:list |
- |
|
设置常用登录IP |
hss:commonIPs:set |
- |
|
查询常用登录IP |
hss:commonIPs:list |
- |
|
设置登录IP白名单 |
hss:whiteIps:set |
- |
|
查询登录IP白名单 |
hss:whiteIps:list |
- |
|
设置自定义弱口令 |
hss:weakPwds:set |
- |
|
查询自定义弱口令 |
hss:weakPwds:get |
- |
|
设置Web路径 |
hss:webDirs:set |
- |
|
查询Web路径 |
hss:webDirs:get |
- |
|
查询双因子认证服务器列表 |
hss:twofactorAuth:list |
- |
|
设置双因子认证 |
hss:twofactorAuth:set |
- |
|
开启或关闭恶意程序自动隔离查杀 |
hss:automaticKillMp:set |
- |
|
查询恶意程序自动隔离查杀 |
hss:automaticKillMp:get |
- |
|
查询Agent下载地址 |
hss:installAgent:get |
- |
|
卸载Agent |
hss:agent:uninstall |
- |
|
查询主机安全告警 |
hss:alertConfig:get |
- |
|
设置主机安全告警 |
hss:alertConfig:set |
- |
|
查询网页防篡改防护列表 |
hss:wtpHosts:list |
vpc:ports:get vpc:publicIps:list ecs:cloudServers:list |
|
开启或关闭网页防篡改 |
hss:wtpProtect:switch |
- |
|
设置备份服务器 |
hss:wtpBackup:set |
- |
|
查询备份服务器 |
hss:wtpBackup:get |
- |
|
设置防护目录 |
hss:wtpDirectorys:set |
- |
|
查询防护目录列表 |
hss:wtpDirectorys:list |
- |
|
查询网页防篡改防护记录 |
hss:wtpReports:list |
- |
|
设置特权进程 |
hss:wtpPrivilegedProcess:set |
- |
|
查询特权进程列表 |
hss:wtpPrivilegedProcesses:list |
- |
|
设置防护模式 |
hss:wtpProtectMode:set |
- |
|
查询防护模式 |
hss:wtpProtectMode:get |
- |
|
设置防护文件系统 |
hss:wtpFilesystems:set |
- |
|
查询防护文件系统列表 |
hss:wtpFilesystems:list |
- |
|
设置定时关闭防护 |
hss:wtpScheduledProtections:set |
- |
|
查询定时关闭防护设置 |
hss:wtpScheduledProtections:get |
- |
|
设置网页防篡改告警 |
hss:wtpAlertConfig:set |
- |
|
查询网页防篡改告警 |
hss:wtpAlertConfig:get |
- |
|
查询网页防篡改统计信息 |
hss:wtpDashboard:get |
- |
|
查询策略组信息 |
hss:policy:get |
- |
|
设置策略组信息 |
hss:policy:set |
- |
|
查询入侵检测事件列表 |
hss:event:get |
- |
|
入侵检测事件操作 |
hss:event:set |
- |
|
查询服务器分组信息 |
hss:hostGroup:get |
- |
|
设置服务器组 |
hss:hostGroup:set |
- |
|
文件完整性管理 |
hss:keyfiles:set |
- |
|
查询关键文件变更报告 |
hss:keyfiles:list |
- |
|
查询自启动列表 |
hss:launch:list |
- |
