权限及授权项

如果您需要对您所拥有的NDR进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用NDR的其它功能。

默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。

角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。

支持的授权项

策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。

权限：允许或拒绝某项操作。
授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。

类别	权限	授权项
只读权限	以PCAP格式导出载荷内容文件	ndr:system:exportLogPacket
	查询当前特别关注	ndr:system:listLabelSpecialAttentionIp
	查询检测策略	ndr:detectionStrategies:list
	配额校验	ndr:system:listQuota
	查询拦截日志	ndr:system:listBlockLog
	查询IP组	ndr:ipGroup:list
	查询关联IP组列表	ndr:system:listAttackerSet
	查询威胁情报信息	ndr:system:listThreatIntelligence
	查询ips配置	ndr:system:getIpsConfig
	查询单个关联IP组详情	ndr:system:getAttackerSet
	查询主机插件状态	ndr:hosts:list
	查询攻击者信息标题	ndr:system:getAttackerProfileTitle
	查询安全分析报告响应总览数据	ndr:system:getReportResponse
	查询安全分析报告总体数据	ndr:system:getReportOverview
	获取攻击日志的报表信息	ndr:system:getStatisticsAttackTime
	查看拦截规则详情	ndr:blockRule:get
	下载拦截规则模板	ndr:blockRule:getTemplate
	获取所有的告警信息	ndr:system:listAlarm
	查询服务开通状态	ndr:system:getSubscription
	导出攻击日志	ndr:system:exportAttackLog
	导出拦截规则	ndr:blockRule:export
	查询租户流量	ndr:system:getStatisticsFlow
	查询攻击关系图	ndr:system:getAttackerProfileDiagram
	查询租户攻击信息	ndr:system:getStatisticsAttack
	查询EIP列表	ndr:eip:list
	获取Attack矩阵	ndr:system:getattckMatrix
	查询安全分析报告检测总览数据	ndr:system:getReportDetection
	查询流量日志	ndr:system:listflowLog
	查询安全事件	ndr:system:listEvent
	出入口的流量统计	ndr:system:getStatisticsFlowTime
	查询用户配置	ndr:system:getUserConfiguration
	查询攻击日志	ndr:system:listAttackLog
	查询IP配置设置	ndr:system:geAttackertLabel
	查询攻击者信息图表	ndr:system:listAttackerProfileChart
	导出流量日志	ndr:system:exportFlowLog
	查询拦截规则列表	ndr:blockRule:list
	查询攻击者时间线	ndr:system:getAttackerProfileTimeline
	查询攻击者列表	ndr:system:listAttackerProfileAttacker
	导出拦截日志	ndr:system:exportBlockLog
	查询端口组	ndr:portGroup:list
	任务规则描述列表	ndr:system:listipsRule
写权限	新增关联IP组设置	ndr:system:createAttackerSet
	删除检测策略	ndr:detectionStrategies:delete
	删除关联IP组中的成员	ndr:system:deleteAttackerSetMember
	修改用户配置	ndr:system:putUserConfiguration
	删除端口组	ndr:portGroup:delete
	创建IP组	ndr:ipGroup:create
	EIP批量取消关联规则	ndr:eip:disassociateRule
	修改安全事件	ndr:system:putEvent
	删除关联IP组	ndr:system:deleteAttackerSet
	删除IP组	ndr:ipGroup:delete
	规则批量关联EIP	ndr:blockRule:associateEip
	新增关联IP组中的成员	ndr:system:createAttackerSetMember
	修改告警信息	ndr:system:putAlarm
	批量启用关联IP	ndr:system:enableAttackerSetMember
	修改端口组	ndr:portGroup:put
	删除特别关注	ndr:system:deleteLabelSpecialAttentionIp
	批量禁用关联IP	ndr:system:disableAttackerSetMember
	导入拦截规则	ndr:blockRule:import
	EIP批量关联规则	ndr:eip:associateRule
	批量删除特别关注	ndr:system:batchDeleteLabelSpecialAttentionIp
	更新检测策略	ndr:detectionStrategies:pu
	批量启用EIP防护	ndr:eip:enableProtection
	开通服务	ndr:system:createSubscription
	修改IP组	ndr:ipGroup:put
	停用检测策略	ndr:detectionStrategies:disable
	批量删除关联IP组中的成员	ndr:system:batchDeleteAttackerSetMember
	安装插件	ndr:hosts:install
	启用检测策略	ndr:detectionStrategies:enable
	更新插件	ndr:hosts:upgrade
	规则批量取消关联EIP	ndr:blockRule:disassociateEip
	创建端口组	ndr:portGroup:create
	同步EIP	ndr:eip:synchronization
	手动执行资源同步	ndr:system:syncResource
	修改IP配置	ndr:system:putAttackerLabel
	删除拦截规则	ndr:blockRule:delete
	批量停用EIP防护	ndr:eip:disableProtection
	新增IP配置	ndr:system:createAttackerLabel
	修改检测策略	ndr:detectionStrategies:modify
	禁用基础防御规则	ndr:system:disableIpsRule
	变更配额	ndr:system:modifyQuota
	创建拦截规则	ndr:blockRule:create
	更改ips配置	ndr:system:updateIpsConfig
	卸载插件	ndr:hosts:uninstall
	取消开通服务	ndr:system:deleteSubscription
	创建检测策略	ndr:detectionStrategies:create
	启用基础防御规则	ndr:system:enableIpsRule
	编辑拦截规则	ndr:blockRule:put
	修改单个关联IP组	ndr:system:putAttackerSet