权限及授权项
如果您需要对您所拥有的NDR进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用NDR的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
|
类别 |
权限 |
授权项 |
|---|---|---|
|
只读权限 |
导出拦截规则 |
ndr:blockRule:export |
|
查询安全分析报告总体数据 |
ndr:system:getReportOverview |
|
|
查询攻击者列表 |
ndr:system:listAttackerProfileAttacker |
|
|
查询拦截规则列表 |
ndr:blockRule:list |
|
|
导出攻击日志 |
ndr:system:exportAttackLog |
|
|
查询ips配置 |
ndr:system:getIpsConfig |
|
|
查询租户流量 |
ndr:system:getStatisticsFlow |
|
|
查看拦截规则详情 |
ndr:blockRule:get |
|
|
查询流量日志 |
ndr:system:listflowLog |
|
|
获取所有的告警信息 |
ndr:system:listAlarm |
|
|
出入口的流量统计 |
ndr:system:getStatisticsFlowTime |
|
|
查询安全分析报告检测总览数据 |
ndr:system:getReportDetection |
|
|
查询关联IP组列表 |
ndr:system:listAttackerSet |
|
|
查询拦截日志 |
ndr:system:listBlockLog |
|
|
查询攻击关系图 |
ndr:system:getAttackerProfileDiagram |
|
|
获取Attck矩阵 |
ndr:system:getattckMatrix |
|
|
导出流量日志 |
ndr:system:exportFlowLog |
|
|
查询租户攻击信息 |
ndr:system:getStatisticsAttack |
|
|
查询IP组 |
ndr:ipGroup:list |
|
|
以PCAP格式导出载荷内容文件 |
ndr:system:exportLogPacket |
|
|
获取攻击日志的报表信息 |
ndr:system:getStatisticsAttackTime |
|
|
查询攻击者时间线 |
ndr:system:getAttackerProfileTimeline |
|
|
导出拦截规则 |
ndr:system:ListAdmissionTags |
|
|
导出拦截日志 |
ndr:system:exportBlockLog |
|
|
查询单个关联IP组详情 |
ndr:system:getAttackerSet |
|
|
查询当前特别关注 |
ndr:system:listLabelSpecialAttentionIp |
|
|
下载拦截规则模板 |
ndr:blockRule:getTemplate |
|
|
查询攻击者信息图表 |
ndr:system:listAttackerProfileChart |
|
|
任务规则描述列表 |
ndr:system:listipsRule |
|
|
查询EIP列表 |
ndr:eip:list |
|
|
查询端口组 |
ndr:portGroup:list |
|
|
查询安全分析报告响应总览数据 |
ndr:system:getReportResponse |
|
|
查询用户配置 |
ndr:system:getUserConfiguration |
|
|
查询服务开通状态 |
ndr:system:getSubscription |
|
|
查询IP配置设置 |
ndr:system:geAttackertLabel |
|
|
查询攻击日志 |
ndr:system:listAttackLog |
|
|
查询攻击者信息标题 |
ndr:system:getAttackerProfileTitle |
|
|
写权限 |
修改IP配置 |
ndr:system:putAttackerLabel |
|
修改端口组 |
ndr:portGroup:put |
|
|
开通服务 |
ndr:system:createSubscription |
|
|
批量停用EIP防护 |
ndr:eip:disableProtection |
|
|
导入拦截规则 |
ndr:blockRule:import |
|
|
禁用基础防御规则 |
ndr:system:disableIpsRule |
|
|
修改单个关联IP组 |
ndr:system:putAttackerSet |
|
|
规则批量取消关联EIP |
ndr:blockRule:disassociateEip |
|
|
批量禁用关联IP |
ndr:system:disableAttackerSetMember |
|
|
修改用户配置 |
ndr:system:putUserConfiguration |
|
|
EIP批量取消关联规则 |
ndr:eip:disassociateRule |
|
|
删除拦截规则 |
ndr:blockRule:delete |
|
|
创建端口组 |
ndr:portGroup:create |
|
|
启用基础防御规则 |
ndr:system:enableIpsRule |
|
|
EIP批量关联规则 |
ndr:eip:associateRule |
|
|
新增关联IP组中的成员 |
ndr:system:createAttackerSetMember |
|
|
规则批量关联EIP |
ndr:blockRule:associateEip |
|
|
删除端口组 |
ndr:portGroup:delete |
|
|
同步EIP |
ndr:eip:synchronization |
|
|
批量启用EIP防护 |
ndr:eip:enableProtection |
|
|
修改告警信息 |
ndr:system:putAlarm |
|
|
批量删除关联IP组中的成员 |
ndr:system:batchDeleteAttackerSetMember |
|
|
删除关联IP组 |
ndr:system:deleteAttackerSet |
|
|
编辑拦截规则 |
ndr:blockRule:put |
|
|
批量删除特别关注 |
ndr:system:batchDeleteLabelSpecialAttentionIp |
|
|
批量启用关联IP |
ndr:system:enableAttackerSetMember |
|
|
修改IP组 |
ndr:ipGroup:put |
|
|
删除特别关注 |
ndr:system:deleteLabelSpecialAttentionIp |
|
|
更改ips配置 |
ndr:system:updateIpsConfig |
|
|
创建IP组 |
ndr:ipGroup:create |
|
|
取消开通服务 |
ndr:system:deleteSubscription |
|
|
删除关联IP组中的成员 |
ndr:system:deleteAttackerSetMember |
|
|
创建拦截规则 |
ndr:blockRule:create |
|
|
删除IP组 |
ndr:ipGroup:delete |
|
|
新增关联IP组设置 |
ndr:system:createAttackerSet |
|
|
新增IP配置 |
ndr:system:createAttackerLabel |
