更新时间:2024-10-22 GMT+08:00

服务委托授权

操作场景

安全云脑功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。

当您首次使用安全云脑时,需要先进行委托授权操作,才能正常访问和使用安全云脑。具体待委托权限如下所示:

表1 委托权限

权限

权限描述

授权主体

权限用途

ECS FullAccess

弹性云服务器所有权限

SecMaster_Agency

用于安全组阻断、更新安全组的剧本的执行、查询ECS资产等信息

WAF FullAccess

Web应用防火墙管理员

SecMaster_Agency

用于WAF阻断、WAF地址组关联策略配置和在基线检查功能中检查WAF网站防护信息

SecMaster FullAccess

安全云脑管理员

SecMaster_Agency

用于执行告警处置等操作

HSS FullAccess

主机安全服务的所有权限

SecMaster_Agency

用于漏洞管理、主机隔离等相关剧本的执行和在基线检查功能中获取主机安全服务状态

EPS ReadOnlyAccess

企业项目管理服务只读权限

SecMaster_Agency

用于WAF相关剧本流程的执行

ECS ReadOnlyAccess

弹性云服务器的只读访问权限

SecMaster_Agency

用于订购时查询ECS数量和在基线检查功能中获取ECS安全配置信息

Anti-DDoS ReadOnlyAccess

Anti-DDoS流量清洗服务只读权限

SecMaster_Agency

用于在基线功能中获取用户DDoS资产信息

IAM ReadOnlyAccess

统一身份认证服务的只读权限

SecMaster_Agency

用于剧本流程执行中获取凭证信息

WAF Administrator

Web应用防火墙服务(WAF)管理员,拥有该服务下的所有权限

SecMaster_Agency

用于WAF相关剧本流程的执行

SMN FullAccess

拥有消息通知服务的所有权限

SecMaster_Agency

用于通知类剧本的执行

RDS ReadOnlyAccess

关系型数据库服务资源只读权限

SecMaster_Agency

用于资产连接相关剧本的执行

EIP ReadOnlyAccess

EIP服务只读权限

SecMaster_Agency

用于资产连接类剧本的执行和在基线检查功能中获取EIP配置信息

Tenant Guest

全部云服务只读权限(除IAM权限)

SecMaster_Agency

用于剧本中HTTP插件的执行

NAT ReadOnlyAccess

NAT网关服务只读权限

SecMaster_Agency

用于资产管理获取NAT信息

VPC FullAccess

虚拟私有云所有权限

SecMaster_Agency

用于资产连接类剧本以及隔离类流程的执行,和在基线检查功能中获取租户VPC资产信息

OBS OperateAccess

具有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

SecMaster_Agency

用于告警剧本的执行和在基线检查功能中获取租户OBS资产信息

ELB ReadOnlyAccess

弹性负载均衡服务只读权限

SecMaster_Agency

用于在基线检查功能中获取租户ELB资产信息

CFW FullAccess

云防火墙所有权限

SecMaster_Agency

用于止血类剧本的执行

RMS ReadOnlyAccess

资源管理服务只读权限

SecMaster_Agency

用于关键运维操作通知剧本使用

前提条件

  • 已完成IAM账号授权操作,详细操作请参见IAM账号授权
  • 已购买安全云脑。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,进入工作空间管理页面。

    图1 工作空间管理页面

  5. (可选)在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。

    首次进入无需进行单击操作,页面将自动弹出服务委托授权页面。

  6. 在授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”