服务委托授权
操作场景
安全云脑功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。
当您首次使用安全云脑时,需要先进行委托授权操作,才能正常访问和使用安全云脑。具体待委托权限如下所示:
权限 |
权限描述 |
授权主体 |
权限用途 |
---|---|---|---|
ECS FullAccess |
弹性云服务器所有权限 |
SecMaster_Agency |
用于安全组阻断、更新安全组的剧本的执行、查询ECS资产等信息 |
WAF FullAccess |
Web应用防火墙管理员 |
SecMaster_Agency |
用于WAF阻断、WAF地址组关联策略配置和在基线检查功能中检查WAF网站防护信息 |
SecMaster FullAccess |
安全云脑管理员 |
SecMaster_Agency |
用于执行告警处置等操作 |
HSS FullAccess |
主机安全服务的所有权限 |
SecMaster_Agency |
用于漏洞管理、主机隔离等相关剧本的执行和在基线检查功能中获取主机安全服务状态 |
EPS ReadOnlyAccess |
企业项目管理服务只读权限 |
SecMaster_Agency |
用于WAF相关剧本流程的执行 |
ECS ReadOnlyAccess |
弹性云服务器的只读访问权限 |
SecMaster_Agency |
用于订购时查询ECS数量和在基线检查功能中获取ECS安全配置信息 |
Anti-DDoS ReadOnlyAccess |
Anti-DDoS流量清洗服务只读权限 |
SecMaster_Agency |
用于在基线功能中获取用户DDoS资产信息 |
IAM ReadOnlyAccess |
统一身份认证服务的只读权限 |
SecMaster_Agency |
用于剧本流程执行中获取凭证信息 |
WAF Administrator |
Web应用防火墙服务(WAF)管理员,拥有该服务下的所有权限 |
SecMaster_Agency |
用于WAF相关剧本流程的执行 |
SMN FullAccess |
拥有消息通知服务的所有权限 |
SecMaster_Agency |
用于通知类剧本的执行 |
RDS ReadOnlyAccess |
关系型数据库服务资源只读权限 |
SecMaster_Agency |
用于资产连接相关剧本的执行 |
EIP ReadOnlyAccess |
EIP服务只读权限 |
SecMaster_Agency |
用于资产连接类剧本的执行和在基线检查功能中获取EIP配置信息 |
Tenant Guest |
全部云服务只读权限(除IAM权限) |
SecMaster_Agency |
用于剧本中HTTP插件的执行 |
NAT ReadOnlyAccess |
NAT网关服务只读权限 |
SecMaster_Agency |
用于资产管理获取NAT信息 |
VPC FullAccess |
虚拟私有云所有权限 |
SecMaster_Agency |
用于资产连接类剧本以及隔离类流程的执行,和在基线检查功能中获取租户VPC资产信息 |
OBS OperateAccess |
具有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 |
SecMaster_Agency |
用于告警剧本的执行和在基线检查功能中获取租户OBS资产信息 |
ELB ReadOnlyAccess |
弹性负载均衡服务只读权限 |
SecMaster_Agency |
用于在基线检查功能中获取租户ELB资产信息 |
CFW FullAccess |
云防火墙所有权限 |
SecMaster_Agency |
用于止血类剧本的执行 |
RMS ReadOnlyAccess |
资源管理服务只读权限 |
SecMaster_Agency |
用于关键运维操作通知剧本使用 |
前提条件
- 已完成IAM账号授权操作,详细操作请参见IAM账号授权。
- 已购买安全云脑。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,进入工作空间管理页面。图1 工作空间管理页面
- (可选)在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。
首次进入无需进行单击操作,页面将自动弹出服务委托授权页面。
- 在授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”。