授权关联云服务权限
操作场景
主机安全服务部分功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给主机安全服务后,这些功能才能正常访问、使用。
在您首次登录HSS控制台时,HSS将会提示您需要授权,当您执行授权后,HSS将在IAM中自动创建云服务委托,将账号内的其他云服务资源操作权限授权给HSS服务进行操作。
HSS自动创建的委托为“hss_policy_trust”,其中包含的的权限明细如表 hss_policy_trust委托说明所示。
如果您在多个区域中使用HSS服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“hss_policy_trust”查看各区域的授权记录。
功能 |
授权权限 |
对应云服务权限 |
权限用途 |
|
---|---|---|---|---|
权限 |
授权项(Action) |
|||
容器审计(镜像仓审计) |
CTSOperatePolicy |
查询审计事件 |
cts:trace:list |
获取镜像操作日志(SWR服务的CTS日志) |
主机安装与配置 |
VPCOperatePolicy |
创建端口 |
vpc:ports:create |
创建网卡、修改安全组等,保证安装Agent使用的端口畅通 |
删除端口 |
vpc:ports:delete |
|||
创建安全组规则 |
vpc:securityGroupRules:create |
|||
删除安全组规则 |
vpc:securityGroupRules:delete |
|||
查询端口列表或详情 |
vpc:ports:get |
|||
查询网络列表或详情 |
vpc:networks:get |
|||
查询子网列表或详情 |
vpc:subnets:get |
|||
VPCEPOperatePolicy |
创建终端节点 |
vpcep:endpoints:create |
Agent和HSS云端防护中心(Master)的网络通道维护 |
|
查询终端节点列表 |
vpcep:endpoints:list |
|||
删除终端节点 |
vpcep:endpoints:delete |
|||
容器安装与配置 |
CCEOperatePolicy |
创建/{hss-namespace}/Daemonset |
- |
管理CCE集群下的HSS-Daemonset以及Configmap的生命周期 |
创建/{hss-namespace}/Configmap |
- |
|||
删除/{hss-namespace}/Demonset |
- |
|||
删除/{hss-namespace}/Configmap |
- |
|||
更新/{hss-namespace}/Daemonset |
- |
|||
更新/{hss-namespace}/Configmap |
- |
|||
创建hss命名空间 |
- |
|||
删除hss命名空间 |
- |
前提条件
授权
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。
- 在左侧导航栏,选择“授权管理”页面。 ,进入
- 单击“新增授权”,弹出“新增授权”对话框。
图1 新增授权
- 勾选需要授权的权限,单击“确认”,完成授权。
容器审计、主机安装与配置、容器安装与配置功能页面,如果此前未进行授权,将无法正常使用,您也可以在功能界面上方提示处,单击“授权”,进行授权。
取消授权
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。
- 在左侧导航栏,选择“授权管理”页面。 ,进入
- 在目标权限所在行的操作列,单击“删除”,弹出“删除授权”对话框。
或者勾选多条权限,并在列表上方单击“删除”,批量删除授权。
图2 删除授权
- 确认要删除的权限信息后,在对话框中输入“DELETE”,并单击“确定”。
查看权限列表中无该权限信息,表示取消授权成功。