授权管理

操作场景

HSS部分功能对其他云服务资源有依赖，需要您将相关云服务资源的操作权限委托给HSS，让HSS以您的身份使用执行一些任务调度和资源运维等工作，这些功能才能正常访问和使用。

当您登录HSS控制台首次使用这部分功能时，HSS将自动请求获取当前区域下的其他云服务资源权限，在您执行授权后，HSS将在IAM中自动创建名为“hss_policy_trust”的委托，并将该委托授权给HSS的内部账号“op_svc_hss”。关于资源委托详情，您可参考委托进行了解。

如果您在多个区域中使用HSS服务，则需在每个区域中分别授权云资源权限。您可前往“IAM控制台 > 委托”页签，单击“hss_policy_trust”查看各区域的授权记录。

HSS需要您委托授权的其他云服务资源权限如表1所示。

表1 其他云服务资源权限依赖
功能	所需权限	对应云服务权限		权限用途
功能	所需权限	权限	授权项（Action）	权限用途
容器审计（镜像仓审计）	CTSOperatePolicy	查询审计事件	cts:trace:list	获取镜像操作日志（SWR服务的CTS日志）
主机安装与配置	VPCOperatePolicy	创建端口	vpc:ports:create	创建网卡、修改安全组等，保证安装Agent使用的端口畅通
		删除端口	vpc:ports:delete
		创建安全组规则	vpc:securityGroupRules:create
		删除安全组规则	vpc:securityGroupRules:delete
		查询端口列表或详情	vpc:ports:get
		查询网络列表或详情	vpc:networks:get
		查询子网列表或详情	vpc:subnets:get
	VPCEPOperatePolicy	创建终端节点	vpcep:endpoints:create	Agent和HSS云端防护中心（Master）的网络通道维护
		查询终端节点列表	vpcep:endpoints:list
		删除终端节点	vpcep:endpoints:delete
容器安装与配置仓库镜像定时同步	CCEOperatePolicy	查询集群信息	cce:cluster:get	管理CCE集群下的HSS-Daemonset以及Configmap的生命周期
		查询指定项目下的集群	cce:cluster:list
		查询指定条件下的委托列表	iam:agencies:listAgencies
仓库镜像定时同步	SWROperatePolicy	查询组织列表	swr:namespace:listNamespaces	获取SWR服务的镜像信息，包括组织、仓库和制品等。
		查询镜像列表	swr:repo:listRepos
		查询镜像Tag列表	swr:repo:listRepoTags
		查询共享镜像列表	swr:repo:listSharedRepos
		获取实例列表	swr:instance:list
		获取同步仓库详情	swr:instance:getRegistry
		获取仓库详情	swr:repository:getRepository
		获取实例详情	swr:instance:get
		获取仓库列表	swr:repository:listRepositories
		获取制品列表	swr:repository:listArtifacts

前提条件

如果执行授权管理相关操作的是IAM用户，请联系账号管理员为IAM用户授予以下权限：

IAM新版控制台：“IAMReadOnlyPolicy”系统策略或“IAMFullAccessPolicy”系统策略。
IAM旧版控制台：“HSS AgencyOperatePolicy”系统策略或“Security Administrator”系统角色。

缺失上述权限的IAM用户将无法查看或处理授权管理信息。授权详细操作请参见创建用户组并授权。

授权云服务资源权限

登录企业主机安全控制台。
在控制台左上角，单击图标，选择区域或项目。

在左侧导航栏，选择“安装与配置 > 授权管理”，进入“授权管理”页面。
单击“新增授权”，弹出“新增授权”对话框。

图1 新增授权
勾选需要授权的权限，单击“确定”，完成授权。

容器审计、主机安装与配置、容器安装与配置功能页面，如果此前未进行授权，将无法正常使用，您也可以在功能界面上方提示处，单击“授权”，进行授权。