更新时间:2024-11-15 GMT+08:00
分享

授权管理

操作场景

HSS部分功能对其他云服务资源有依赖,需要您将相关云服务资源的操作权限委托给HSS后,这些功能才能正常访问、使用。

在您登录HSS控制台时,HSS将自动请求获取当前区域下的其他云服务资源权限,当您执行授权后,HSS将在IAM中自动创建账号委托“hss_policy_trust”,将账号内的其他云服务资源操作权限授权给HSS服务进行操作。关于资源委托详情,您可参考委托进行了解。

如果您在多个区域中使用HSS服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“hss_policy_trust”查看各区域的授权记录。

HSS需要您委托授权的其他云服务资源权限如表 其他云服务资源权限依赖所示。
表1 其他云服务资源权限依赖

功能

所需权限

对应云服务权限

权限用途

权限

授权项(Action)

容器审计(镜像仓审计)

CTSOperatePolicy

查询审计事件

cts:trace:list

获取镜像操作日志(SWR服务的CTS日志)

主机安装与配置

VPCOperatePolicy

创建端口

vpc:ports:create

创建网卡、修改安全组等,保证安装Agent使用的端口畅通

删除端口

vpc:ports:delete

创建安全组规则

vpc:securityGroupRules:create

删除安全组规则

vpc:securityGroupRules:delete

查询端口列表或详情

vpc:ports:get

查询网络列表或详情

vpc:networks:get

查询子网列表或详情

vpc:subnets:get

VPCEPOperatePolicy

创建终端节点

vpcep:endpoints:create

Agent和HSS云端防护中心(Master)的网络通道维护

查询终端节点列表

vpcep:endpoints:list

删除终端节点

vpcep:endpoints:delete

容器安装与配置

CCEOperatePolicy

查询集群信息

cce:cluster:get

管理CCE集群下的HSS-Daemonset以及Configmap的生命周期

查询指定项目下的集群

cce:cluster:list

查询指定条件下的委托列表

iam:agencies:listAgencies

前提条件

如果执行操作的是IAM用户,请先给IAM用户授予“Security Administrator”的系统角色或“HSS AgencyOperatePolicy”的系统策略,授权详细操作请参见创建用户组并授权

授权云服务资源权限

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  1. 在左侧导航栏,选择安装与配置 > 授权管理,进入“授权管理”页面。
  2. 单击“新增授权”,弹出“新增授权”对话框。

    图1 新增授权

  3. 勾选需要授权的权限,单击“确认”,完成授权。

    容器审计、主机安装与配置、容器安装与配置功能页面,如果此前未进行授权,将无法正常使用,您也可以在功能界面上方提示处,单击“授权”,进行授权。

删除云服务资源权限

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择安装与配置 > 授权管理,进入“授权管理”页面。
  4. 在目标权限所在行的操作列,单击“删除”,弹出“删除授权”对话框。

    或者勾选多条权限,并在列表上方单击“删除”,批量删除授权。

    图2 删除授权

  5. 确认要删除的权限信息后,在对话框中输入“DELETE”,并单击“确定”

    查看权限列表中无该权限信息,表示取消授权成功。

相关文档