权限及授权项
如果您需要对您所拥有的NDR进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用NDR的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
类别 | 权限 | 授权项 |
|---|---|---|
只读权限 | 导出拦截规则 | ndr:blockRule:export |
查询安全分析报告总体数据 | ndr:system:getReportOverview | |
查询攻击者列表 | ndr:system:listAttackerProfileAttacker | |
查询拦截规则列表 | ndr:blockRule:list | |
导出攻击日志 | ndr:system:exportAttackLog | |
查询ips配置 | ndr:system:getIpsConfig | |
查询租户流量 | ndr:system:getStatisticsFlow | |
查看拦截规则详情 | ndr:blockRule:get | |
查询流量日志 | ndr:system:listflowLog | |
获取所有的告警信息 | ndr:system:listAlarm | |
出入口的流量统计 | ndr:system:getStatisticsFlowTime | |
查询安全分析报告检测总览数据 | ndr:system:getReportDetection | |
查询关联IP组列表 | ndr:system:listAttackerSet | |
查询拦截日志 | ndr:system:listBlockLog | |
查询攻击关系图 | ndr:system:getAttackerProfileDiagram | |
获取Attck矩阵 | ndr:system:getattckMatrix | |
导出流量日志 | ndr:system:exportFlowLog | |
查询租户攻击信息 | ndr:system:getStatisticsAttack | |
查询IP组 | ndr:ipGroup:list | |
以PCAP格式导出载荷内容文件 | ndr:system:exportLogPacket | |
获取攻击日志的报表信息 | ndr:system:getStatisticsAttackTime | |
查询攻击者时间线 | ndr:system:getAttackerProfileTimeline | |
导出拦截规则 | ndr:system:ListAdmissionTags | |
导出拦截日志 | ndr:system:exportBlockLog | |
查询单个关联IP组详情 | ndr:system:getAttackerSet | |
查询当前特别关注 | ndr:system:listLabelSpecialAttentionIp | |
下载拦截规则模板 | ndr:blockRule:getTemplate | |
查询攻击者信息图表 | ndr:system:listAttackerProfileChart | |
任务规则描述列表 | ndr:system:listipsRule | |
查询EIP列表 | ndr:eip:list | |
查询端口组 | ndr:portGroup:list | |
查询安全分析报告响应总览数据 | ndr:system:getReportResponse | |
查询用户配置 | ndr:system:getUserConfiguration | |
查询服务开通状态 | ndr:system:getSubscription | |
查询IP配置设置 | ndr:system:geAttackertLabel | |
查询攻击日志 | ndr:system:listAttackLog | |
查询攻击者信息标题 | ndr:system:getAttackerProfileTitle | |
写权限 | 修改IP配置 | ndr:system:putAttackerLabel |
修改端口组 | ndr:portGroup:put | |
开通服务 | ndr:system:createSubscription | |
批量停用EIP防护 | ndr:eip:disableProtection | |
导入拦截规则 | ndr:blockRule:import | |
禁用基础防御规则 | ndr:system:disableIpsRule | |
修改单个关联IP组 | ndr:system:putAttackerSet | |
规则批量取消关联EIP | ndr:blockRule:disassociateEip | |
批量禁用关联IP | ndr:system:disableAttackerSetMember | |
修改用户配置 | ndr:system:putUserConfiguration | |
EIP批量取消关联规则 | ndr:eip:disassociateRule | |
删除拦截规则 | ndr:blockRule:delete | |
创建端口组 | ndr:portGroup:create | |
启用基础防御规则 | ndr:system:enableIpsRule | |
EIP批量关联规则 | ndr:eip:associateRule | |
新增关联IP组中的成员 | ndr:system:createAttackerSetMember | |
规则批量关联EIP | ndr:blockRule:associateEip | |
删除端口组 | ndr:portGroup:delete | |
同步EIP | ndr:eip:synchronization | |
批量启用EIP防护 | ndr:eip:enableProtection | |
修改告警信息 | ndr:system:putAlarm | |
批量删除关联IP组中的成员 | ndr:system:batchDeleteAttackerSetMember | |
删除关联IP组 | ndr:system:deleteAttackerSet | |
编辑拦截规则 | ndr:blockRule:put | |
批量删除特别关注 | ndr:system:batchDeleteLabelSpecialAttentionIp | |
批量启用关联IP | ndr:system:enableAttackerSetMember | |
修改IP组 | ndr:ipGroup:put | |
删除特别关注 | ndr:system:deleteLabelSpecialAttentionIp | |
更改ips配置 | ndr:system:updateIpsConfig | |
创建IP组 | ndr:ipGroup:create | |
取消开通服务 | ndr:system:deleteSubscription | |
删除关联IP组中的成员 | ndr:system:deleteAttackerSetMember | |
创建拦截规则 | ndr:blockRule:create | |
删除IP组 | ndr:ipGroup:delete | |
新增关联IP组设置 | ndr:system:createAttackerSet | |
新增IP配置 | ndr:system:createAttackerLabel |
