授权管理
操作场景
HSS部分功能对其他云服务资源有依赖,需要您将相关云服务资源的操作权限委托给HSS后,这些功能才能正常访问、使用。
在您登录HSS控制台时,HSS将自动请求获取当前区域下的其他云服务资源权限,当您执行授权后,HSS将在IAM中自动创建账号委托“hss_policy_trust”,将账号内的其他云服务资源操作权限授权给HSS服务进行操作。关于资源委托详情,您可参考委托进行了解。
如果您在多个区域中使用HSS服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“hss_policy_trust”查看各区域的授权记录。
|
功能 |
所需权限 |
对应云服务权限 |
权限用途 |
|
|---|---|---|---|---|
|
权限 |
授权项(Action) |
|||
|
容器审计(镜像仓审计) |
CTSOperatePolicy |
查询审计事件 |
cts:trace:list |
获取镜像操作日志(SWR服务的CTS日志) |
|
主机安装与配置 |
VPCOperatePolicy |
创建端口 |
vpc:ports:create |
创建网卡、修改安全组等,保证安装Agent使用的端口畅通 |
|
删除端口 |
vpc:ports:delete |
|||
|
创建安全组规则 |
vpc:securityGroupRules:create |
|||
|
删除安全组规则 |
vpc:securityGroupRules:delete |
|||
|
查询端口列表或详情 |
vpc:ports:get |
|||
|
查询网络列表或详情 |
vpc:networks:get |
|||
|
查询子网列表或详情 |
vpc:subnets:get |
|||
|
VPCEPOperatePolicy |
创建终端节点 |
vpcep:endpoints:create |
Agent和HSS云端防护中心(Master)的网络通道维护 |
|
|
查询终端节点列表 |
vpcep:endpoints:list |
|||
|
删除终端节点 |
vpcep:endpoints:delete |
|||
|
容器安装与配置 |
CCEOperatePolicy |
查询集群信息 |
cce:cluster:get |
管理CCE集群下的HSS-Daemonset以及Configmap的生命周期 |
|
查询指定项目下的集群 |
cce:cluster:list |
|||
|
查询指定条件下的委托列表 |
iam:agencies:listAgencies |
|||
前提条件
如果执行操作的是IAM用户,请先给IAM用户授予“Security Administrator”的系统角色或“HSS AgencyOperatePolicy”的系统策略,授权详细操作请参见创建用户组并授权。
授权云服务资源权限
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择,进入“授权管理”页面。
- 单击“新增授权”,弹出“新增授权”对话框。
图1 新增授权
- 勾选需要授权的权限,单击“确认”,完成授权。
容器审计、主机安装与配置、容器安装与配置功能页面,如果此前未进行授权,将无法正常使用,您也可以在功能界面上方提示处,单击“授权”,进行授权。
删除云服务资源权限
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择,进入“授权管理”页面。
- 在目标权限所在行的操作列,单击“删除”,弹出“删除授权”对话框。
或者勾选多条权限,并在列表上方单击“删除”,批量删除授权。
图2 删除授权
- 确认要删除的权限信息后,在对话框中输入“DELETE”,并单击“确定”。
查看权限列表中无该权限信息,表示取消授权成功。
