网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务
更新时间:2024-10-24 GMT+08:00
分享

企业主机安全 HSS

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为SCP中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于HSS定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列没有值(-),表示此操作不支持指定条件键。

    关于HSS定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下HSS的相关操作。

表1 HSS支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

hss:host:addHostsGroup

授予权限以创建服务器组。

write

host *

g:EnterpriseProjectId

hss:ars:addPWLPolicyHost

授予权限以进行白名单策略添加主机。

write

host *

g:EnterpriseProjectId

hss:rasp:addRaspPolicy

授予权限以添加防护策略。

write

-

g:EnterpriseProjectId

hss:safetyReport:addSecurityReport

授予权限以创建或复制新报告。

write

-

g:EnterpriseProjectId

hss:wtp:addTimingOffConfigInfo

授予权限以添加定时关闭防护配置。

write

host *

g:EnterpriseProjectId

hss:wtp:addWtpHostProtectDirInfo

授予权限以增加防护目录。

write

host *

g:EnterpriseProjectId

hss:wtp:addWtpPrivilegedProcessInfo

授予权限以添加特权进程。

write

host *

g:EnterpriseProjectId

hss:setting:changeAutoKillVirusStatus

授予权限以开启或关闭程序自动隔离查杀。

write

-

g:EnterpriseProjectId

hss:event:changeBlockedIp

授予权限以解除拦截。

write

host *

g:EnterpriseProjectId

hss:setting:changeMalwareCollectStatus

授予权限以开启或关闭恶意软件云查样本收集配置。

write

-

g:EnterpriseProjectId

hss:ars:changePWLPolicy

授予权限以修改白名单策略。

write

-

g:EnterpriseProjectId

hss:ars:changePWLPolicyProcessStatus

授予权限以标记进程白名单策略识别进程。

write

-

g:EnterpriseProjectId

hss:safetyReport:changeSecurityReport

授予权限以修改报告。

write

-

g:EnterpriseProjectId

hss:ars:createPWLPolicy

授予权限以创建白名单策略。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:deletePWLPolicy

授予权限以删除白名单策略。

write

-

g:EnterpriseProjectId

hss:ars:deletePWLPolicyHost

授予权限以进行白名单策略删除主机。

write

host *

g:EnterpriseProjectId

hss:antiransomware:deleteRansomwareDuplicationInfo

授予权限以删除备份副本。

write

-

g:EnterpriseProjectId

hss:antiransomware:deleteRansomwareProtectionPolicy

授予权限以删除防护策略。

write

-

g:EnterpriseProjectId

hss:rasp:deleteRaspPolicy

授予权限以删除防护策略。

write

-

g:EnterpriseProjectId

hss:safetyReport:deleteSecurityReport

授予权限以删除报告。

write

-

g:EnterpriseProjectId

hss:wtp:deleteTimingOffConfigInfo

授予权限以删除定时关闭防护配置。

write

host *

g:EnterpriseProjectId

hss:wtp:deleteWtpBackupHostInfo

授予权限以删除远端备份服务器。

write

host *

g:EnterpriseProjectId

hss:wtp:deleteWtpHostProtectDirInfo

授予权限以删除防护目录。

write

host *

g:EnterpriseProjectId

hss:wtp:deleteWtpPrivilegedProcessInfo

授予权限以删除特权进程。

write

host *

g:EnterpriseProjectId

hss:setting:getAgentInstallScript

授予权限以查询agent安装脚本。

read

-

g:EnterpriseProjectId

hss:setting:getAlarmConfig

授予权限以查询告警配置。

read

-

g:EnterpriseProjectId

hss:rasp:getAppRaspSwitchStatus

授予权限以查询应用防护开启状态。

read

host *

g:EnterpriseProjectId

hss:setting:getAutoKillVirusStatus

授予权限以查询程序自动隔离查杀状态。

read

-

g:EnterpriseProjectId

hss:container:getContainerNodeStatistics

授予权限以查询容器节点防护总览数据。

read

-

g:EnterpriseProjectId

hss:keyfile:getFileStatistic

授予权限以获取服务器文件统计信息。

read

-

g:EnterpriseProjectId

hss:setting:getMalwareCollectStatus

授予权限以查询恶意软件云查样本收集配置开关状态。

read

-

g:EnterpriseProjectId

hss:setting:getMalwareReminders

授予权限以获取提示信息配置。

read

-

g:EnterpriseProjectId

hss:securitycheck:getManualSecurityCheckStatus

授予权限以查询手动体检状态和进度。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewAssetGroupsStatistics

授予权限以获取业务组分布统计,并识别一般资产、重要资产、核心资产。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewAssetOsStatistics

授予权限以获取操作系统分布统计。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewAssetStatistics

授予权限以获取资产统计,包含主机、容器、镜像。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewAttckMitre

授予权限以调查响应-ATT&CK攻击路径矩阵。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewDefenseStatistics

授予权限以获取主动防御统计。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewProtectionStatusStatistics

授予权限以查询当前云负载的防护状态。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewQuotaStatistics

授予权限以获取主机安全统计。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewRiskLists

授予权限以查询风险列表。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewRiskManageStatistics

授予权限以获取风险管理,包含风险趋势和类型统计。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewRiskScore

授予权限以查询风险评分结果。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewRiskStatistics

授予权限以查询风险统计,安全风险、安全告警、主动防御。

read

-

g:EnterpriseProjectId

hss:overview:getOverviewTrialsStatistics

授予权限以试用主机风险统计。

read

-

g:EnterpriseProjectId

hss:antiransomware:getRansomwareBackupInfoByBackupId

授予权限以查询指定备份信息。

read

-

g:EnterpriseProjectId

hss:antiransomware:getRansomwareHSSBackupPolicyInfo

授予权限以查询备份策略信息。

read

-

g:EnterpriseProjectId

hss:antiransomware:getRansomwareBackupStatistics

授予权限以查询备份统计信息。

read

-

g:EnterpriseProjectId

hss:antiransomware:getRansomwareProtectionStatistics

授予权限以查询防护统计信息。

read

-

g:EnterpriseProjectId

hss:antiransomware:getRansomwareVaultInfo

授予权限以查询备份存储库信息。

read

-

g:EnterpriseProjectId

hss:rasp:getRaspPolicyDetail

授予权限以查询防护策略详情。

read

-

g:EnterpriseProjectId

hss:rasp:getRaspProtectStatistics

授予权限以获取防护数据统计。

read

-

g:EnterpriseProjectId

hss:wtp:getRaspSwitchStatus

授予权限以查询动态网页防篡改开启状态。

read

host *

g:EnterpriseProjectId

hss:securitycheck:getSecurityCheckConfig

授予权限以查询安全体检定时配置信息。

read

-

g:EnterpriseProjectId

hss:securitycheck:getSecurityCheckHostReport

授予权限以查询指定服务器的安全体检报告。

read

host *

g:EnterpriseProjectId

hss:securitycheck:getSecurityCheckOverview

授予权限以查询安全体检概览信息。

read

-

g:EnterpriseProjectId

hss:securitycheck:getSecurityCheckStatistic

授予权限以查询安全体检统计信息。

read

-

g:EnterpriseProjectId

hss:safetyReport:getSecurityReport

授予权限以查询安全报告内容。

read

-

g:EnterpriseProjectId

hss:safetyReport:getSecurityReportSubscription

授予权限以查询报告订阅的内容。

read

-

g:EnterpriseProjectId

hss:wtp:getTimingOffStatusInfo

授予权限以查询定时关闭防护开关状态。

read

host *

g:EnterpriseProjectId

hss:wtp:getWtpDashboardProtectStatistics

授予权限以查询防护数据统计。

read

-

g:EnterpriseProjectId

hss:wtp:getWtpDirectory

授予权限以查询动态网页防篡改的Tomcat bin目录。

read

host *

g:EnterpriseProjectId

hss:wtp:getWtpDirectoryMonitorOnlyStatus

授予权限以查询只监控不修复开关状态。

read

host *

g:EnterpriseProjectId

hss:wtp:getWtpPrivilegedProcessesChildStatus

授予权限以展示特权进程子进程可信状态。

read

host *

g:EnterpriseProjectId

hss:wtp:getWtpRemoteBackupHostInfo

授予权限以查询远端备份服务器信息。

read

host *

g:EnterpriseProjectId

hss:setting:listAgentVersion

授予权限以查询agent版本信息列表。

list

-

g:EnterpriseProjectId

hss:container:listContainerNodes

授予权限以查询容器节点列表。

list

-

g:EnterpriseProjectId

hss:keyfile:listFileEvents

授予权限以获取变更文件列表。

list

-

g:EnterpriseProjectId

hss:keyfile:listFileHostEventDetails

授予权限以获取某个服务器变更文件信息。

list

host *

g:EnterpriseProjectId

hss:keyfile:listFileHosts

授予权限以获取云服务器变更列表。

list

-

g:EnterpriseProjectId

hss:host:listHostGroups

授予权限以查询服务器组列表。

list

-

g:EnterpriseProjectId

hss:setting:listLoginCommonIp

授予权限以查询常用登录IP信息。

list

-

g:EnterpriseProjectId

hss:setting:listLoginCommonLocation

授予权限以查询常用登录地信息。

list

-

g:EnterpriseProjectId

hss:setting:listLoginWhiteIp

授予权限以查询登录IP白名单。

list

-

g:EnterpriseProjectId

hss:policy:listPolicyGroup

授予权限以查询策略组列表。

list

-

g:EnterpriseProjectId

hss:asset:listPortHost

授予权限以查询资产指纹-端口-服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listProcessesHost

授予权限以查询资产指纹-进程-服务器列表。

list

-

g:EnterpriseProjectId

hss:ars:listPWLEvent

授予权限以查询进程白名单事件。

list

-

g:EnterpriseProjectId

hss:ars:listPwlPolicy

授予权限以查询进程白名单策略列表。

list

-

g:EnterpriseProjectId

hss:ars:listPwlPolicyHost

授予权限以查询进程白名单策略关联主机列表。

list

-

g:EnterpriseProjectId

hss:ars:listPwlPolicyProcess

授予权限以查询进程白名单策略识别进程。

list

-

g:EnterpriseProjectId

hss:antiransomware:listRansomwareBackedupByHostId

授予权限以查询备份列表。

list

host *

g:EnterpriseProjectId

hss:antiransomware:listRansomwareOperationLogsByVaultName

授予权限以查询备份恢复任务列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:listRansomwareProtectionOptionalServer

授予权限以查询可选防护服务器列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:listRansomwareProtectionPolicy

授予权限以查询防护策略列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:listRansomwareProtectionServer

授予权限以查询勒索防护服务器列表。

list

-

g:EnterpriseProjectId

hss:rasp:listRaspCheckFeatureRule

授予权限以查询检测规则列表。

list

-

g:EnterpriseProjectId

hss:rasp:listRaspEvents

授予权限以查询应用防护事件列表。

list

-

g:EnterpriseProjectId

hss:rasp:listRaspPolicies

授予权限以查询防护策略列表。

list

-

g:EnterpriseProjectId

hss:rasp:listRaspProtectionServers

授予权限以查询防护服务器列表。

list

-

g:EnterpriseProjectId

hss:securitycheck:listSecurityCheckHostReportHistory

授予权限以查询指定服务器的安全体检历史报告列表。

list

host *

g:EnterpriseProjectId

hss:securitycheck:listSecurityCheckHostResult

授予权限以查询多服务器的安全体检结果列表。

list

-

g:EnterpriseProjectId

hss:safetyReport:listSecurityReport

授予权限以查询报告总览页列表。

list

-

g:EnterpriseProjectId

hss:safetyReport:listSecurityReportHistoryPeriod

授予权限以查询历史报告统计周期列表。

list

-

g:EnterpriseProjectId

hss:safetyReport:listSecurityReportSendingRecord

授予权限以查询报告发送记录列表。

list

-

g:EnterpriseProjectId

hss:wtp:listTimingOffConfigInfo

授予权限以查询定时关闭防护配置列表。

list

host *

g:EnterpriseProjectId

hss:setting:listTwoFactorLoginHost

授予权限以查询双因子主机列表。

list

-

g:EnterpriseProjectId

hss:wtp:listWtpBackupHostsInfo

授予权限以查询远端备份服务器。

list

-

g:EnterpriseProjectId

hss:wtp:listWtpHostProtectDirInfo

授予权限以查询主机防护目录。

list

host *

g:EnterpriseProjectId

hss:wtp:listWtpHostProtectHistoryInfo

授予权限以查询主机静态网页防篡改防护动态。

list

-

g:EnterpriseProjectId

hss:wtp:listWtpHostRaspProtectHistoryInfo

授予权限以查询主机动态网页防篡改防护动态。

list

-

g:EnterpriseProjectId

hss:wtp:listWtpPrivilegedProcessesInfo

授予权限以查询特权进程配置。

list

host *

g:EnterpriseProjectId

hss:wtp:listWtpProtectHost

授予权限以查询防护列表。

list

-

g:EnterpriseProjectId

hss:setting:modifyLoginCommonIp

授予权限以添加、编辑或删除常用登录IP地址。

write

host *

g:EnterpriseProjectId

hss:setting:modifyLoginCommonLocation

授予权限以添加、编辑或删除常用登录地。

write

host *

g:EnterpriseProjectId

hss:setting:modifyLoginWhiteIp

授予权限以添加、编辑或删除登录IP白名单。

write

host *

g:EnterpriseProjectId

hss:ars:operatePWLEvent

授予权限以处理事件。

write

-

g:EnterpriseProjectId

hss:ars:relearnPWLPolicy

授予权限以进行白名单策略重新学习。

write

host *

g:EnterpriseProjectId

hss:overview:resetOverviewRiskScore

授予权限以重置风险评分,重新体检。

write

-

g:EnterpriseProjectId

hss:antiransomware:restoreRansomwareDuplicationInfo

授予权限以备份恢复。

write

-

g:EnterpriseProjectId

hss:safetyReport:sendSecurityReport

授予权限以发送安全报告。

write

-

g:EnterpriseProjectId

hss:setting:setAlarmConfig

授予权限以设置提示信息配置。

write

-

g:EnterpriseProjectId

hss:setting:setMalwareReminders

授予权限以设置提示信息配置。

write

-

g:EnterpriseProjectId

hss:wtp:setRemoteWtpBackupInfo

授予权限以开启关闭远端备份。

write

host *

g:EnterpriseProjectId

hss:wtp:setTimingOffSwitchInfo

授予权限以设置定时关闭防护开关状态。

write

host *

g:EnterpriseProjectId

hss:setting:setTwoFactorLoginConfig

授予权限以设置双因子登录配置。

write

host *

g:EnterpriseProjectId

hss:wtp:setWtpDirectoryMonitorOnlyStatus

授予权限以设置只监控不修复开关状态。

write

host *

g:EnterpriseProjectId

hss:wtp:setWtpPrivilegedProcessesChildStatus

授予权限以设置特权进程子进程可信状态。

write

host *

g:EnterpriseProjectId

hss:wtp:setWtpProtectionStatusInfo

授予权限以开启关闭网页防篡改防护。

write

host *

g:EnterpriseProjectId

hss:wtp:setWtpProtectSwitch

授予权限以开启/关闭动态网页防篡改防护。

write

host *

g:EnterpriseProjectId

hss:wtp:setWtpScheduledProtectionDateOffConfigInfo

授予权限以设置自动关闭防护的频率周期。

write

host *

g:EnterpriseProjectId

hss:securitycheck:startManualSecurityCheck

授予权限以启动手动体检。

write

-

g:EnterpriseProjectId

hss:antiransomware:startRansomwareBackupSingle

授予权限以开启单台服务器备份功能。

write

host *

g:EnterpriseProjectId

hss:antiransomware:startRansomwareProtection

授予权限以开启勒索病毒防护。

write

host *

g:EnterpriseProjectId

hss:antiransomware:startRansomwareProtectionSingle

授予权限以开启单台服务器勒索防护。

write

host *

g:EnterpriseProjectId

hss:securitycheck:stopManualSecurityCheck

授予权限以取消手动体检。

write

-

g:EnterpriseProjectId

hss:antiransomware:stopRansomwareProtection

授予权限以关闭勒索病毒防护。

write

host *

g:EnterpriseProjectId

hss:container:switchContainerProtectStatus

授予权限以切换防护状态。

write

host *

g:EnterpriseProjectId

hss:ars:switchPWLPolicyHost

授予权限以开启/关闭主机白名单策略。

write

host *

g:EnterpriseProjectId

hss:rasp:switchRasp

授予权限以开启/关闭应用防护。

write

host *

g:EnterpriseProjectId

hss:safetyReport:switchSecurityReportStatus

授予权限以修改安全报告开关。

write

-

g:EnterpriseProjectId

hss:wtp:switchWtpHostProtectDirInfo

授予权限以开启/关闭目录防护。

write

host *

g:EnterpriseProjectId

hss:host:uninstallAgents

授予权限以卸载Agent。

write

host *

g:EnterpriseProjectId

hss:setting:updateAlarmConfig

授予权限以设置告警配置。

write

-

g:EnterpriseProjectId

hss:antiransomware:updateRansomwareBackupPolicyInfo

授予权限以修改备份策略。

write

-

g:EnterpriseProjectId

hss:antiransomware:updateRansomwareProtectionPolicy

授予权限以修改防护策略。

write

-

g:EnterpriseProjectId

hss:rasp:updateRaspPolicy

授予权限以修改防护策略。

write

-

g:EnterpriseProjectId

hss:securitycheck:updateSecurityCheckConfig

授予权限以修改安全体检定时配置信息。

write

-

g:EnterpriseProjectId

hss:wtp:updateTimingOffConfigInfo

授予权限以修改定时关闭防护配置。

write

host *

g:EnterpriseProjectId

hss:wtp:updateWtpBackupHostInfo

授予权限以添加或修改远端备份服务器。

write

host *

g:EnterpriseProjectId

hss:wtp:updateWtpDirectoryInfo

授予权限以修改动态网页防篡改的Tomcat bin目录。

write

host *

g:EnterpriseProjectId

hss:wtp:updateWtpHostProtectDirInfo

授予权限以修改防护目录。

write

host *

g:EnterpriseProjectId

hss:wtp:updateWtpPrivilegedProcessInfo

授予权限以修改特权进程。

write

host *

g:EnterpriseProjectId

hss:asset:addValuesLevel

授予权限以关联资产管理-主机管理-资产重要性。

write

host *

g:EnterpriseProjectId

hss:asset:batchModifyPortStatus

授予权限以修改端口状态。

write

host *

g:EnterpriseProjectId

hss:asset:deleteToolConditionHistory

授予权限以清除工具的搜索记录(运营工具)。

write

-

g:EnterpriseProjectId

hss:asset:executeTool

授予权限以工具执行搜索(运营工具)。

write

-

g:EnterpriseProjectId

hss:asset:getAccountTop

授予权限以获取资产管理-概览-账户Top。

read

-

g:EnterpriseProjectId

hss:asset:getAgentStatisticsStatus

授予权限以获取资产管理-概览-资产状态-主机Agent状态。

read

-

g:EnterpriseProjectId

hss:asset:getAssetStatistic

授予权限以获取资产统计信息,账号、端口、进程等。

read

-

g:EnterpriseProjectId

hss:asset:getAssetType

授予权限以获取资产管理-概览-资产状态-资产分布。

read

-

g:EnterpriseProjectId

hss:asset:getAutoLaunchTop

授予权限以获取资产管理-概览-自启动项Top。

read

-

g:EnterpriseProjectId

hss:asset:getCommonPort

授予权限以呈现某一端口详细信息。

read

-

g:EnterpriseProjectId

hss:asset:getContainerProtectionStatus

授予权限以获取资产管理-概览-资产状态-容器节点防护状态。

read

-

g:EnterpriseProjectId

hss:asset:getCoreConfFileTop

授予权限以获取资产管理-概览-关键配置Top。

read

-

g:EnterpriseProjectId

hss:asset:getEnvironmentTop

授予权限以获取资产管理-概览-环境变量Top。

read

-

g:EnterpriseProjectId

hss:asset:getHostAssetManualCollectStatus

授予权限以获取单主机资产指纹立即采集接口的运行状态。

read

host *

g:EnterpriseProjectId

hss:asset:getHostProtectionStatus

授予权限以获取资产管理-概览-资产状态-Agent状态。

read

-

g:EnterpriseProjectId

hss:asset:getJarPackageTop

授予权限以获取资产管理-概览-jar包Top。

read

-

g:EnterpriseProjectId

hss:asset:getKernelModuleTop

授予权限以获取资产管理-概览-内核模块Top。

read

-

g:EnterpriseProjectId

hss:asset:getOsStatisticsInfo

授予权限以获取资产管理-概览-资产状态-操作系统统计信息。

read

-

g:EnterpriseProjectId

hss:asset:getPorcessTop

授予权限以获取资产管理-概览-进程Top。

read

-

g:EnterpriseProjectId

hss:asset:getPortTop

授予权限以获取资产管理-概览-端口Top。

read

-

g:EnterpriseProjectId

hss:asset:getQuotaStatisticsInfo

授予权限以获取资产管理-概览-资产状态-防护配额统计信息。

read

-

g:EnterpriseProjectId

hss:asset:getSoftwareTop

授予权限以获取资产管理-概览-软件Top。

read

-

g:EnterpriseProjectId

hss:asset:getWebAppAndServiceTop

授予权限以获取资产管理-概览-WebAppAndServiceTop。

read

-

g:EnterpriseProjectId

hss:asset:getWebAppTop

授予权限以获取资产管理-概览-Web应用Top。

read

-

g:EnterpriseProjectId

hss:asset:getWebFrameworkTop

授予权限以获取资产管理-概览-Web框架Top。

read

-

g:EnterpriseProjectId

hss:asset:getWebServiceTop

授予权限以获取资产管理-概览-Web服务Top。

read

-

g:EnterpriseProjectId

hss:asset:getWebSiteTop

授予权限以获取资产管理-概览-Web站点Top。

read

-

g:EnterpriseProjectId

hss:asset:listAppChangeHistories

授予权限以获取资产指纹-软件信息-历史变动记录。

list

-

g:EnterpriseProjectId

hss:asset:listApps

授予权限以获取单主机资产指纹-软件。

list

-

g:EnterpriseProjectId

hss:asset:listAppStatistics

授予权限以获取资产指纹-软件信息。

list

-

g:EnterpriseProjectId

hss:asset:listAutoLaunchChangeHistories

授予权限以获取资产指纹-自启动项-历史变动记录。

list

-

g:EnterpriseProjectId

hss:asset:listAutoLaunchs

授予权限以获取单主机资产指纹-自启动项。

list

-

g:EnterpriseProjectId

hss:asset:listAutoLaunchStatistics

授予权限以获取资产指纹-自启动项信息。

list

-

g:EnterpriseProjectId

hss:asset:listCoreConfFileHostInfo

授予权限以获取资产管理-资产指纹-系统关键配置文件的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listCoreConfFileInfo

授予权限以获取资产管理-主机管理-指纹类型-关键配置。

list

host *

g:EnterpriseProjectId

hss:asset:listCoreConfFileStatistics

授予权限以获取资产管理-资产指纹-系统关键配置文件左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listEnvironmentHostInfo

授予权限以获取资产管理-资产指纹-环境变量的服务器列表(资产指纹右侧服务器列表)。

list

-

g:EnterpriseProjectId

hss:asset:listEnvironmentInfo

授予权限以获取资产管理-主机管理-指纹类型-环境变量。

list

host *

g:EnterpriseProjectId

hss:asset:listEnvironmentStatistics

授予权限以获取资产管理-资产指纹-环境变量文件左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listJarPackageHostInfo

授予权限以获取资产管理-资产指纹-Jar包的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listJarPackageInfo

授予权限以获取资产管理-主机管理-指纹类型-Jar包。

list

host *

g:EnterpriseProjectId

hss:asset:listJarPackageStatistics

授予权限以获取资产管理-资产指纹-Jar包左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listKernelModuleHostInfo

授予权限以获取资产管理-资产指纹-内核模块的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listKernelModuleInfo

授予权限以获取资产管理-主机管理-指纹类型-内核模块。

list

host *

g:EnterpriseProjectId

hss:asset:listKernelModuleStatistics

授予权限以获取资产管理-资产指纹-内核模块左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listPorts

授予权限以获取单主机资产指纹-开放端口信息。

list

host *

g:EnterpriseProjectId

hss:asset:listPortStatistics

授予权限以获取资产指纹-开放端口信息。

list

-

g:EnterpriseProjectId

hss:asset:listProcesses

授予权限以获取进程列表。

list

host *

g:EnterpriseProjectId

hss:asset:listProcessStatistics

授予权限以获取资产指纹-进程信息。

list

-

g:EnterpriseProjectId

hss:asset:listResult

授予权限以获取执行结果(运营工具)。

list

-

g:EnterpriseProjectId

hss:asset:listTool

授予权限以获取工具列表(运营工具)。

list

-

g:EnterpriseProjectId

hss:asset:listToolConditionHistory

授予权限以获取工具的搜索记录(运营工具)。

list

-

g:EnterpriseProjectId

hss:asset:listUserChangeHistories

授予权限以获取账户变动历史记录信息。

list

-

g:EnterpriseProjectId

hss:asset:listUserGroup

授予权限以获取用户组列表。

list

-

g:EnterpriseProjectId

hss:asset:listUsers

授予权限以获取资产的账号列表。

list

-

g:EnterpriseProjectId

hss:asset:listUserStatistics

授予权限以获取资产指纹-账号信息。

list

-

g:EnterpriseProjectId

hss:asset:listWebAppAndServices

授予权限以获取资产管理-资产指纹-右侧WebAppAndService资产信息。

list

-

g:EnterpriseProjectId

hss:asset:listWebAppAndServiceStatistics

授予权限以获取资产管理-资产指纹-左侧WebAppAndService名称树信息。

list

-

g:EnterpriseProjectId

hss:asset:listWebAppHostInfo

授予权限以获取资产管理-资产指纹-Web应用的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listWebAppInfo

授予权限以获取资产管理-主机管理-指纹类型-Web应用。

list

host *

g:EnterpriseProjectId

hss:asset:listWebAppStatistics

授予权限以获取资产管理-资产指纹-Web应用左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listWebFrameworkHostInfo

授予权限以获取资产管理-资产指纹-Web框架的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listWebFrameworkInfo

授予权限以获取资产管理-主机管理-指纹类型-Web框架。

list

host *

g:EnterpriseProjectId

hss:asset:listWebFrameworkStatistics

授予权限以获取资产管理-资产指纹-Web框架左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listWebServiceHostInfo

授予权限以获取资产管理-资产指纹-Web服务的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listWebServiceInfo

授予权限以获取资产管理-主机管理-指纹类型-Web服务。

list

host *

g:EnterpriseProjectId

hss:asset:listWebServiceStatistics

授予权限以获取资产管理-资产指纹-Web服务左侧树。

list

-

g:EnterpriseProjectId

hss:asset:listWebSiteHostInfo

授予权限以获取资产管理-资产指纹-Web站点的服务器列表。

list

-

g:EnterpriseProjectId

hss:asset:listWebSiteInfo

授予权限以获取资产管理-主机管理-指纹类型-Web站点。

list

host *

g:EnterpriseProjectId

hss:asset:listWebSiteStatistics

授予权限以获取资产管理-资产指纹-Web站点左侧树。

list

-

g:EnterpriseProjectId

hss:asset:runHostAssetManualCollect

授予权限以立即采集单主机资产指纹。

write

host *

g:EnterpriseProjectId

hss:baseline:addSecurityCheckPolicyGroup

授予权限以新建配置检测策略信息。

write

-

g:EnterpriseProjectId

hss:baseline:changeCheckRuleState

授予权限以对未通过的配置检查项进行忽略/取消忽略/修复/验证操作。

write

baseline *

g:EnterpriseProjectId

hss:baseline:deleteSecurityCheckPolicyGroup

授予权限以删除指定配置检测策略信息。

write

-

g:EnterpriseProjectId

hss:baseline:exportSecurityCheckReport

授予权限以按查询结果导出配置检测报告。

list

-

g:EnterpriseProjectId

hss:baseline:getBaselineOverview

授予权限以查询基线检查的统计数据信息。

read

-

g:EnterpriseProjectId

hss:baseline:getBaselineScanStatus

授予权限以查询基线检查任务进度。

read

-

g:EnterpriseProjectId

hss:baseline:getBaselineStatistic

授予权限以查询基线检查的统计数据信息,包括弱口令,口令复杂度,配置检测。

read

-

g:EnterpriseProjectId

hss:baseline:getCheckRuleDetail

授予权限以查询配置检查项检测报告。

read

baseline *

g:EnterpriseProjectId

hss:baseline:getCheckRuleFixFailDetail

授予权限以查询检查项修复失败原因。

read

baseline *

g:EnterpriseProjectId

hss:baseline:getDefaultSecurityCheckPolicy

授予权限以查询配置检测策略的默认基线信息。

read

-

g:EnterpriseProjectId

hss:baseline:getDefaultSecurityCheckPolicyDetails

授予权限以查询基线的详细检查项。

read

-

g:EnterpriseProjectId

hss:baseline:getRiskConfigDetail

授予权限以查询指定安全配置项的检查结果。

read

-

g:EnterpriseProjectId

hss:baseline:listCheckRuleHost

授予权限以查询配置检查项影响到的服务器列表。

list

baseline *

g:EnterpriseProjectId

hss:baseline:listPasswordComplexity

授予权限以查询口令复杂度策略检测报告。

list

-

g:EnterpriseProjectId

hss:baseline:listRiskConfigCheckRules

授予权限以查询指定安全配置项的检查项列表。

list

-

g:EnterpriseProjectId

hss:baseline:listRiskConfigHosts

授予权限以查询指定安全配置项的受影响服务器列表。

list

-

g:EnterpriseProjectId

hss:baseline:listRiskConfigs

授予权限以查询租户的服务器安全配置检测结果列表。

list

-

g:EnterpriseProjectId

hss:baseline:listSecurityCheckPolicyGroup

授予权限以查询配置检测策略组列表。

list

-

g:EnterpriseProjectId

hss:baseline:listWeakPasswordUsers

授予权限以查询弱口令检测结果列表。

list

-

g:EnterpriseProjectId

hss:baseline:runBaselineDetect

授予权限以手动检测:对策略中选择的主机,进行配置检测和弱口令检测。

write

-

g:EnterpriseProjectId

hss:baseline:updateSecurityCheckPolicyGroup

授予权限以修改指定配置检测策略信息。

write

-

g:EnterpriseProjectId

hss:event:addLoginWhiteList

授予权限以添加登录白名单。

write

-

g:EnterpriseProjectId

hss:event:batchChangeEvent

授予权限以批量处理告警事件。

write

-

g:EnterpriseProjectId

hss:event:changeEvent

授予权限以处理告警事件。

write

event *

g:EnterpriseProjectId

hss:event:changeIsolatedFile

授予权限以恢复已隔离文件。

write

host *

g:EnterpriseProjectId

hss:event:exportAlarmWhiteList

授予权限以导出告警白名单。

list

-

g:EnterpriseProjectId

hss:event:exportEmergency

授予权限以导出应急恶意程序接口。

list

-

g:EnterpriseProjectId

hss:event:getEmergencyStatistics

授予权限以获取应急事件统计信息。

read

-

g:EnterpriseProjectId

hss:event:getEventAttackTag

授予权限以查询攻击标识分布统计列表。

read

-

g:EnterpriseProjectId

hss:event:getEventSeverity

授予权限以查询威胁等级统计列表。

read

-

g:EnterpriseProjectId

hss:event:getEventStatistics

授予权限以查询告警事件统计。

read

-

g:EnterpriseProjectId

hss:event:getMalwareInfo

授予权限以获取突发恶意程序详情列表。

read

event *

g:EnterpriseProjectId

hss:event:handleMalwareEvent

授予权限以处理恶意程序。

write

event *

g:EnterpriseProjectId

hss:event:importAlarmWhiteList

授予权限以导入告警白名单。

write

-

g:EnterpriseProjectId

hss:event:isolateOperateEmergency

授予权限以开启或关闭隔离箱。

write

-

g:EnterpriseProjectId

hss:event:listAlarmWhiteList

授予权限以查询告警白名单列表。

list

-

g:EnterpriseProjectId

hss:event:listBlockedIp

授予权限以查询已拦截IP列表。

list

-

g:EnterpriseProjectId

hss:event:listEventOperates

授予权限以查询事件支持的处理类型。

list

-

g:EnterpriseProjectId

hss:event:listEventTopRisk

授予权限以查询TOP10事件类型统计列表。

list

-

g:EnterpriseProjectId

hss:event:listEventType

授予权限以查询事件类型统计列表。

list

-

g:EnterpriseProjectId

hss:event:listFileIsolateList

授予权限以获取突发恶意程序隔离文件列表。

list

-

g:EnterpriseProjectId

hss:event:listIsolatedFile

授予权限以查询已隔离文件列表。

list

-

g:EnterpriseProjectId

hss:event:listLoginWhiteList

授予权限以查询登录白名单列表。

list

-

g:EnterpriseProjectId

hss:event:listMalware

授予权限以获取突发恶意程序事件列表。

list

-

g:EnterpriseProjectId

hss:event:listSecurityEvents

授予权限以查入侵事件列表。

list

-

g:EnterpriseProjectId

hss:event:recoverIsolateFile

授予权限以恢复文件隔离箱。

write

-

g:EnterpriseProjectId

hss:event:removeAlarmWhiteList

授予权限以删除告警白名单。

write

-

g:EnterpriseProjectId

hss:event:removeLoginWhiteList

授予权限以删除登录白名单。

write

-

g:EnterpriseProjectId

hss:host:associateHostAssetValue

授予权限以关联资产重要性。

write

host *

g:EnterpriseProjectId

hss:host:associateHostsGroup

授予权限以分配到组。

write

host *

g:EnterpriseProjectId

hss:host:batchInstallAgent

授予权限以批量安装agent。

write

host *

g:EnterpriseProjectId

hss:host:changeHostsGroup

授予权限以编辑服务器组。

write

-

g:EnterpriseProjectId

hss:host:deleteHostsGroup

授予权限以删除服务器组。

write

-

g:EnterpriseProjectId

hss:host:getHostsStatistics

授予权限以统计服务器数据。

read

-

g:EnterpriseProjectId

hss:host:listFirewallStatus

授予权限以查询主机是否开启防火墙。

read

host *

g:EnterpriseProjectId

hss:host:listHostGroupAssetValue

授予权限以查询资产重要性的服务器组列表。

list

-

g:EnterpriseProjectId

hss:host:listHostsRisk

授予权限以获取ECS风险状况。

read

host *

g:EnterpriseProjectId

hss:host:listHostStatus

授予权限以查询云服务器列表。

list

-

g:EnterpriseProjectId

hss:host:listHostsUpgrade

授予权限以获取主机的升级状态。

read

host *

-

-

g:EnterpriseProjectId

hss:host:manualCheckVul

授予权限以手动检测漏洞。

write

-

g:EnterpriseProjectId

hss:host:switchFirewallStatus

授予权限以修改防火墙授权状态。

write

host *

g:EnterpriseProjectId

hss:host:switchHostsProtectStatus

授予权限以切换防护状态。

write

host *

g:EnterpriseProjectId

hss:host:upgradeAgent

授予权限以升级Agent1.0到2.0。

write

host *

-

-

g:EnterpriseProjectId

hss:host:upgradeAgents

授予权限以升级Agent。

write

host *

g:EnterpriseProjectId

hss:image:batchScanLocalImage

授予权限以进行本地镜像扫描。

write

-

g:EnterpriseProjectId

hss:image:batchScanPrivateImage

授予权限以批量扫描私有镜像仓库镜像。

write

-

g:EnterpriseProjectId

hss:image:getImageFilesStat

授予权限以查询镜像文件统计信息。

read

-

g:EnterpriseProjectId

hss:image:getImageLocalVulOverview

授予权限以查询本地漏洞概览信息。

read

-

g:EnterpriseProjectId

hss:image:getImageVulOverview

授予权限以查询仓库漏洞概览信息。

read

-

g:EnterpriseProjectId

hss:image:listCfgCheckAffectedImage

授予权限以查询租户镜像未通过基线项所影响的镜像列表。

list

-

g:EnterpriseProjectId

hss:image:listGlobalCfgCheck

授予权限以查询租户全量配置检测统计结果。

list

-

g:EnterpriseProjectId

hss:image:listGlobalMalware

授予权限以查询租户恶意文件列表。

list

-

g:EnterpriseProjectId

hss:image:listGlobalVul

授予权限以查询租户的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listImageApps

授予权限以查询镜像软件列表。

list

-

g:EnterpriseProjectId

hss:image:listImageAppVul

授予权限以查询软件漏洞列表。

list

-

g:EnterpriseProjectId

hss:image:listImageCfgCheck

授予权限以查询单个镜像的配置基线检测结果。

list

-

g:EnterpriseProjectId

hss:image:listImageFiles

授予权限以查询镜像无归属文件列表。

list

-

g:EnterpriseProjectId

hss:image:listImageLocal

授予权限以查询本地镜像列表。

list

-

g:EnterpriseProjectId

hss:image:listImageMalware

授予权限以查询镜像恶意文件列表。

list

-

g:EnterpriseProjectId

hss:image:listImageNamespace

授予权限以查询镜像namespace信息。

list

-

g:EnterpriseProjectId

hss:image:listImageRepository

授予权限以查询私有镜像仓库镜像列表。

list

-

g:EnterpriseProjectId

hss:image:listImageVul

授予权限以查询镜像的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listInstanceImageVul

授予权限以查询企业镜像的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageApp

授予权限以查询本地镜像软件列表。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageAppVuls

授予权限以查询本地镜像某软件的软件漏洞列表。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageContainers

授予权限以查询本地镜像的容器信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageHosts

授予权限以查询本地镜像的主机信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageMalware

授予权限以查询本地镜像的恶意文件信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageVuls

授予权限以查询本地镜像的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalVulRepoImage

授予权限以查询本地镜像漏洞影响的镜像和容器信息。

list

-

g:EnterpriseProjectId

hss:image:listPrivateImageRepository

授予权限以查询私有镜像仓库镜像列表。

list

-

g:EnterpriseProjectId

hss:image:listSharedImageRepository

授予权限以查询共享镜像仓库镜像列表。

list

-

g:EnterpriseProjectId

hss:image:listVulCve

授予权限以查询漏洞对应cve信息。

list

-

g:EnterpriseProjectId

hss:image:listVulRepoImage

授予权限以查询单个漏洞影响的镜像仓库中的镜像信息。

list

-

g:EnterpriseProjectId

hss:image:runImageScan

授予权限以扫描镜像。

write

-

g:EnterpriseProjectId

hss:image:runImageSynchronizeTask

授予权限以从SWR服务同步自由镜像列表。

write

-

g:EnterpriseProjectId

hss:image:runSwrImageScan

授予权限以更新并扫描SWR镜像,提供swr访问。

write

-

g:EnterpriseProjectId

hss:image:sharedImageSynchronization

授予权限以从swr更新他人共享镜像。

write

-

g:EnterpriseProjectId

hss:policy:addPolicyGroup

授予权限以复制主机策略组。

write

policy *

g:EnterpriseProjectId

hss:policy:associatePolicyGroup

授予权限以部署策略。

write

policy *

g:EnterpriseProjectId

host *

g:EnterpriseProjectId

hss:policy:changePolicyDetail

授予权限以修改策略内容。

write

policy *

g:EnterpriseProjectId

hss:policy:changePolicyGroup

授予权限以修改策略组相关内容。

write

policy *

g:EnterpriseProjectId

hss:policy:deletePolicyGroup

授予权限以删除策略组。

write

policy *

g:EnterpriseProjectId

hss:policy:getPolicyDetail

授予权限以查询指定策略详细信息。

read

policy *

g:EnterpriseProjectId

hss:policy:listPolicyGroupDetail

授予权限以查询策略组策略信息列表。

list

policy *

g:EnterpriseProjectId

hss:quota:addResourceInstanceTag

授予权限以单个资源添加资源标签。

tagging

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:batchCreateTags

授予权限以批量创建标签。

write

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:batchDeleteTags

授予权限以批量删除标签。

write

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:cancelHostsQuota

授予权限以解绑配额。

write

-

-

hss:quota:changeTmsResourceTagInfo

授予权限以批量添加删除资源标签。

write

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:countResourceInstances

授予权限以通过标签过滤购买的资源数量。

list

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:dealOrder

授予权限以订购HSS。

write

-

-

hss:quota:deleteResourceInstanceTag

授予权限以删除单个资源下的标签。

tagging

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:filterResourceInstanceList

授予权限以通过标签过滤购买的资源列表。

list

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:getResourceInstanceTag

授予权限以查询单个资源的资源标签。

read

-

-

hss:quota:getResourceQuotas

授予权限以查询配额信息。

read

-

-

hss:quota:getTmsResourceTagsInfo

授予权限以查询资源标签。

read

-

-

hss:quota:listProjectTags

授予权限以查询租户当前项目下所有用过的标签。

list

-

-

hss:quota:listQuotasDetail

授予权限以查询配额详情。

list

-

-

hss:quota:listResourceIds

授予权限以批量查询配额ID信息。

list

-

-

hss:quota:listTmsResourceInstancesInfo

授予权限以查询资源实例。

list

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

hss:quota:upgradeOrder

授予权限以变更规格。

write

-

-

hss:vulnerability:changeVulStatus

授予权限以修改漏洞的状态。

write

host *

g:EnterpriseProjectId

hss:vulnerability:exportEmergencyVulnerabilities

授予权限以导出应急漏洞。

list

-

g:EnterpriseProjectId

hss:vulnerability:exportVulsList

授予权限以导出漏洞及漏洞影响的主机的相关信息。

list

-

g:EnterpriseProjectId

hss:vulnerability:getCmsVulDetail

授予权限以查询webcms漏洞基本信息。

read

-

g:EnterpriseProjectId

hss:vulnerability:getEmergencySummary

授予权限以查询应急事件总览。

read

-

g:EnterpriseProjectId

hss:vulnerability:getEmergencyVulDetail

授予权限以查询应急事件漏洞详情。

read

-

g:EnterpriseProjectId

hss:vulnerability:getLinuxVulDetail

授予权限以查询linux漏洞基本信息。

read

-

g:EnterpriseProjectId

hss:vulnerability:getVulCheckStatus

授予权限以查询主机漏洞的扫描状态。

read

-

g:EnterpriseProjectId

hss:vulnerability:getVulSummary

授予权限以查询漏洞统计信息。

read

-

g:EnterpriseProjectId

hss:vulnerability:getWindosVulDetail

授予权限以查询windows漏洞基本信息。

read

-

g:EnterpriseProjectId

hss:vulnerability:getWindowsVulNum

授予权限以查询主机windows漏洞的数量。

list

-

g:EnterpriseProjectId

hss:vulnerability:listEmergencyVul

授予权限以查询应急事件漏洞。

list

-

g:EnterpriseProjectId

hss:vulnerability:listHostVuls

授予权限以查询单台服务器漏洞信息。

list

host *

g:EnterpriseProjectId

hss:vulnerability:listHostVulSummary

授予权限以查询服务器统计信息和风险服务器TOP5。

list

-

g:EnterpriseProjectId

hss:vulnerability:listTopVulSummary

授予权限以查询漏洞TOP5。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHosts

授予权限以查询单个漏洞影响的云服务器信息。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulnerabilities

授予权限以查询漏洞列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulRepairFailedDetail

授予权限以查询漏洞修复失败信息。

list

host *

g:EnterpriseProjectId

hss:vulnerability:listVulTypeSummary

授予权限以查询漏洞类型分布。

list

-

g:EnterpriseProjectId

hss:vulnerability:operateEmergency

授予权限以操作应急事件漏洞。

write

-

g:EnterpriseProjectId

hss:host:getScanStatus

授予权限以查询手动检测状态。

read

host *

g:EnterpriseProjectId

hss:host:setManualDetect

授予权限以下发手动检测。

write

host *

g:EnterpriseProjectId

hss::getTrustServiceStatus

授予权限以获取可信服务状态。

read

-

-

hss::enableTrustService

授予权限以开启可信服务。

permission_management

-

-

hss::validateAdmin

授予权限以校验当前账号是否是管理员账号(包含组织管理员和委托管理员)。

tagging

-

-

hss::listAccounts

授予权限以展示多账号列表。

list

-

-

hss::batchAddAccounts

授予权限以批量添加账号。

write

-

-

hss::deleteAccount

授予权限以删除账号。

write

-

-

hss::listOrganizationTree

授予权限以展示多账号树形结构。

list

-

-

hss::listDelegatedAccounts

授予权限以查询已委托账号树形结构。

list

-

-

hss:antiransomware:listBackupVaults

授予权限以查询备份存储库列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:listRansomwareProtectionNodes

授予权限以查询勒索防护服务器列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:getBackupsStatistics

授予权限以查询备份统计信息。

list

-

g:EnterpriseProjectId

hss:antiransomware:startSingleBackup

授予权限以开启单台服务器备份功能。

write

host *

-

-

g:EnterpriseProjectId

hss:antiransomware:getBackupPolicyInfo

授予权限以查询单个备份策略信息。

read

-

g:EnterpriseProjectId

hss:hostGroup:getOutsideGroupStatus

授予权限以查询是否支持创建数据中心服务器组。

read

-

g:EnterpriseProjectId

hss:hostGroup:getOutsideHostGroup

授予权限以查询线下数据中心服务器组。

read

-

g:EnterpriseProjectId

hss:hostGroup:addOutsideHostGroup

授予权限以创建线下数据中心服务器组。

write

-

g:EnterpriseProjectId

hss:hostGroup:changeOutsideHostGroup

授予权限以编辑线下数据中心服务器组。

write

-

g:EnterpriseProjectId

hss:images:listImageTag

授予权限以查询镜像tag版本列表。

list

-

g:EnterpriseProjectId

hss:images:listImageSensitive

授予权限以查询镜像的敏感信息。

list

-

g:EnterpriseProjectId

hss:images:getFilePathWhiteDetail

授予权限以查询镜像的敏感信息文件路径白名单。

read

-

g:EnterpriseProjectId

hss:images:changeFilePathWhiteDetail

授予权限以修改镜像的敏感信息文件路径白名单。

write

-

g:EnterpriseProjectId

hss:images:changeSensitiveInfo

授予权限以操作处理敏感信息。

write

-

g:EnterpriseProjectId

hss:event:listTopEventType

授予权限以查询TOP5事件类型统计列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:getVulScanPolicy

授予权限以查询漏洞扫描策略。

read

-

-

hss:vulnerability:changeVulScanPolicy

授予权限以修改漏洞扫描策略。

write

host *

-

hss:vulnerability:listVulWhiteList

授予权限以查询漏洞白名单列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:getVulWhiteListDetail

授予权限以查询漏洞白名单详情。

read

-

g:EnterpriseProjectId

hss:vulnerability:changeVulWhiteList

授予权限以修改漏洞白名单。

write

host *

-

-

g:EnterpriseProjectId

hss:vulnerability:deleteVulWhiteList

授予权限以删除漏洞白名单。

write

-

-

hss:vulnerability:addVulWhiteList

授予权限以添加漏洞白名单。

write

host *

-

-

g:EnterpriseProjectId

hss:vulnerability:listVulWhiteListVulOptions

授予权限以查询添加白名单时的漏洞选项。

list

-

-

hss:vulnerability:listVulScanTask

授予权限以查询漏洞扫描任务列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulScanTaskHost

授予权限以查询漏洞扫描任务对应的主机列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:rescanVulScanTask

授予权限以重新扫描之前漏洞扫描任务中的主机。

write

host *

-

-

g:EnterpriseProjectId

hss:vulnerability:getVulScanTaskStatistics

授予权限以查询漏洞扫描任务的统计数据。

read

-

g:EnterpriseProjectId

hss:vulnerability:listHostVulStatistics

授予权限以查询漏洞管理统计数据。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHostApps

授予权限以查询漏洞受影响服务器详情-软件列表。

list

host *

-

-

g:EnterpriseProjectId

hss:vulnerability:listVulHostProcess

授予权限以查询漏洞受影响服务器详情-进程列表。

list

host *

-

-

g:EnterpriseProjectId

hss:vulnerability:listVulHandleHistory

授予权限以查询漏洞历史处置记录。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHostHosts

授予权限以查询漏洞主机列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHostVuls

授予权限以查询紧急修复/未完成修复漏洞。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHostHandleVuls

授予权限以查询今日处理漏洞/累计处理漏洞。

list

-

g:EnterpriseProjectId

hss:image:listImageNonCompliantApp

授予权限以查询镜像的不合规软件信息。

list

-

g:EnterpriseProjectId

hss:image:batchExportSWRVulList

授予权限以swr镜像仓库漏洞批量导出。

write

-

g:EnterpriseProjectId

hss:image:batchExportLocalVulList

授予权限以本地镜像漏洞批量导出。

write

-

g:EnterpriseProjectId

hss:image:getExtendedWeakPassword

授予权限以查询镜像的自定义弱口令。

list

-

g:EnterpriseProjectId

hss:image:changeExtendedWeakPassword

授予权限以修改镜像的自定义弱口令。

write

-

g:EnterpriseProjectId

hss:image:listImageBasicImage

授予权限以查询镜像的基础镜像信息。

list

-

g:EnterpriseProjectId

hss:image:listImagePwdComplexity

授予权限以查询镜像口令复杂度策略检测报告。

list

-

g:EnterpriseProjectId

hss:image:listImageWeakPwdUsers

授予权限以查询镜像弱口令检测结果列表。

list

-

g:EnterpriseProjectId

hss:image:listImageRiskConfigs

授予权限以查询镜像安全配置检测结果列表。

list

-

g:EnterpriseProjectId

hss:image:listImageRiskConfigCheckRules

授予权限以查询镜像指定安全配置项的检查项列表。

list

-

g:EnterpriseProjectId

hss:image:getImageRiskConfigDetail

授予权限以查询镜像指定安全配置项的检查结果。

read

-

g:EnterpriseProjectId

hss:image:getImageCheckRuleDetail

授予权限以查询镜像配置检查项检测报告。

read

-

g:EnterpriseProjectId

hss:image:getImageBaselineStatistic

授予权限以查询基线检查的统计数据信息,包括弱口令,口令复杂度,配置检测。

read

-

g:EnterpriseProjectId

hss:event:addSystemUserWhiteList

授予权限以添加系统用户白名单。

write

-

g:EnterpriseProjectId

hss:event:updateSystemUserWhiteList

授予权限以修改系统用户白名单。

write

-

g:EnterpriseProjectId

hss:event:listSystemUserWhiteList

授予权限以查询系统用户白名单。

list

-

g:EnterpriseProjectId

hss:event:removeSystemUserWhiteList

授予权限以删除系统用户白名单。

write

-

g:EnterpriseProjectId

hss:container:saveClusters

授予权限以同步集群信息。

write

-

g:EnterpriseProjectId

hss:container:listClusterInfo

授予权限以查询Kubernetes集群列表。

list

-

g:EnterpriseProjectId

hss:container:listPodInfo

授予权限以查询pod基本信息列表。

list

-

g:EnterpriseProjectId

hss:container:showPodDetail

授予权限以查询pod详细信息。

read

-

g:EnterpriseProjectId

hss:container:listContainerInfo

授予权限以查询容器基本信息列表。

list

-

g:EnterpriseProjectId

hss:container:showContainerDetail

授予权限以查询容器详细信息。

list

-

g:EnterpriseProjectId

hss:container:listServiceInfo

授予权限以查询Kubernetes服务列表。

list

-

g:EnterpriseProjectId

hss:container:showServiceDetail

授予权限以查询Kubernetes服务详情。

read

-

g:EnterpriseProjectId

hss:container:listEndpointInfo

授予权限以查询kubernetes端点列表。

list

-

g:EnterpriseProjectId

hss:container:showEndpointDetail

授予权限以查询Kubernetes端点详情。

read

-

g:EnterpriseProjectId

hss:container:listDeployments

授予权限以查询Kubernetes无状态负载列表。

list

-

g:EnterpriseProjectId

hss:container:listStatefulSets

授予权限以查询Kubernetes有状态负载列表。

list

-

g:EnterpriseProjectId

hss:container:listDaemonSets

授予权限以查询Kubernetes守护进程列表。

list

-

g:EnterpriseProjectId

hss:container:listJobs

授予权限以查询kubernetes普通任务列表。

list

-

g:EnterpriseProjectId

hss:container:listCronJobs

授予权限以查询Kubernetes定时任务列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:showVulAffectedStatics

授予权限以统计漏洞受影响服务器数量。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHandleTask

授予权限以查询漏洞处置任务列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:listVulHandleTaskDetail

授予权限以查询漏洞处置任务的详情列表。

list

-

g:EnterpriseProjectId

hss:container:isolateK8sContainer

授予权限以修改容器的运行状态。

write

-

g:EnterpriseProjectId

hss:container:getNetworkStatistics

授予权限以查询容器防火墙统计状态。

list

-

g:EnterpriseProjectId

hss:container:getClusters

授予权限以查询集群列表。

list

-

g:EnterpriseProjectId

hss:container:getClusterNetworkInfo

授予权限以查询集群网络信息。

read

-

g:EnterpriseProjectId

hss:container:getClusterPolicyList

授予权限以查询容器网络策略列表。

list

-

g:EnterpriseProjectId

hss:container:deletePolicy

授予权限以删除容器网络策略。

write

-

g:EnterpriseProjectId

hss:container:createPolicy

授予权限以创建容器网络策略。

write

-

g:EnterpriseProjectId

hss:container:updatePolicy

授予权限以更新容器网络策略。

write

-

g:EnterpriseProjectId

hss:container:syncClusterPolicyList

授予权限以同步容器网络策略。

read

-

g:EnterpriseProjectId

hss:container:syncClusterList

授予权限以同步集群命名空间信息。

read

-

g:EnterpriseProjectId

hss:container:getNamespaceList

授予权限以查询集群命名空间列表。

list

-

g:EnterpriseProjectId

hss:container:getNodeList

授予权限以查询集群节点列表。

list

-

g:EnterpriseProjectId

hss:container:syncClusterNodeList

授予权限以同步集群节点。

read

-

g:EnterpriseProjectId

hss:vulnerability:getVulScanTaskEstimatedTime

授予权限以查询漏洞扫描的预估时间。

read

-

g:EnterpriseProjectId

hss:antiransomware:addRansomwareProtectionPolicy

授予权限以添加勒索防护策略。

write

-

g:EnterpriseProjectId

hss:antiransomware:associateBackupPolicy

授予权限以将备份策略绑定存储库。

write

-

g:EnterpriseProjectId

hss:antiransomware:listBackupPolicy

授予权限以查询备份策略列表。

list

-

g:EnterpriseProjectId

hss:antiransomware:associateProtectionPolicy

授予权限以切换勒索防护策略。

write

-

g:EnterpriseProjectId

hss:antiransomware:batchStartProtection

授予权限以开启勒索防护。

write

-

g:EnterpriseProjectId

hss:event:getEventAttCk

授予权限以查询ATT&CK攻击阶段统计列表。

list

event *

-

-

g:EnterpriseProjectId

hss:event:downloadEventSourceFile

授予权限以下载告警源文件。

list

event *

-

-

g:EnterpriseProjectId

hss:overview:showSecurityScore

授予权限以查询安全评分。

list

-

g:EnterpriseProjectId

hss:overview:listSecurityRisk

授予权限以查询安全风险列表。

list

-

g:EnterpriseProjectId

hss:overview:showQuotaHostStatistics

授予权限以查询主机配额统计信息。

list

-

g:EnterpriseProjectId

hss:overview:showAgentStatistics

授予权限以查询agent待升级,在线离线数量。

list

-

g:EnterpriseProjectId

hss:overview:showHotInformation

授予权限以查询热点资讯。

list

-

g:EnterpriseProjectId

hss:overview:showSecurityRisk

授予权限以查询安全风险信息。

list

-

g:EnterpriseProjectId

hss:overview:showProtectStatistics

授予权限以查询守护天数,病毒库更新时间,漏洞库更新时间,各模块累计次数。

list

-

g:EnterpriseProjectId

hss:overview:showStatistics

授予权限以查询勒索病毒防治开启数量,应用防护开启数量,网页防篡改开启数量,双因子认证开启数量,支持双因子认证开启数量,隔离文件数量。

list

-

g:EnterpriseProjectId

hss:event:listEventHandleHistory

授予权限以查询历史事件处置列表。

list

event *

-

-

g:EnterpriseProjectId

hss:image:listSwrImageRepository

授予权限以查询swr镜像仓库镜像列表。

list

-

g:EnterpriseProjectId

hss:image:batchScanSwrImage

授予权限以镜像仓库镜像批量扫描。

write

-

g:EnterpriseProjectId

hss:image:vulnerabilities

授予权限以查询镜像的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listVulnerabilityCve

授予权限以漏洞对应cve信息。

list

-

g:EnterpriseProjectId

hss:image:listImageRiskConfigRules

授予权限以查询镜像指定安全配置项的检查项列表。

list

-

g:EnterpriseProjectId

hss:image:runImageSynchronize

授予权限以从SWR服务同步镜像列表。

write

-

g:EnterpriseProjectId

hss:event:listEventForensic

授予权限以查询事件取证信息。

list

event *

-

-

g:EnterpriseProjectId

hss:event:listSimilarHandledEvents

授予权限以查询相似已处置的告警记录。

list

event *

-

-

g:EnterpriseProjectId

hss:event:listSameEvent

授予权限以查询相同告警。

list

event *

-

-

g:EnterpriseProjectId

hss:container:getPolicies

授予权限以查询策略列表。

list

-

g:EnterpriseProjectId

hss:container:getPolicyDetail

授予权限以查询策略详情。

list

-

g:EnterpriseProjectId

hss:container:getOverview

授予权限以查询集群防护总览。

list

-

g:EnterpriseProjectId

hss:container:getProtectEvents

授予权限以查询集群防护事件。

list

-

g:EnterpriseProjectId

hss:container:getProtectClusters

授予权限以查询集群防护信息。

list

-

g:EnterpriseProjectId

hss:container:changeProtectStatus

授予权限以改变集群防护状态。

write

-

g:EnterpriseProjectId

hss:container:addWhiteImage

授予权限以加入镜像白名单。

write

-

g:EnterpriseProjectId

hss:container:listDefaultPolicy

授予权限以查询默认策略模板。

list

-

g:EnterpriseProjectId

hss:container:listProtectionItem

授予权限以查询防护范围。

list

-

g:EnterpriseProjectId

hss:vulnerability:getVulBackupStatistics

授予权限以查询漏洞处理对应主机的备份相关统计信息。

read

-

g:EnterpriseProjectId

hss:vulnerability:ListVulHostVaults

授予权限以查询漏洞处理对应的主机存储库的列表。

list

-

g:EnterpriseProjectId

hss:vulnerability:ListVulHostBackups

授予权限以查询可回滚的备份列表。

list

host *

g:EnterpriseProjectId

hss:vulnerability:RestoreVulHostBackup

授予权限以用备份进行回滚。

write

-

g:EnterpriseProjectId

hss:event:exportEvent

授予权限以导出事件告警。

write

event *

-

-

g:EnterpriseProjectId

hss:event:queryExportTask

授予权限以查询导出事件告警任务。

read

event *

-

-

g:EnterpriseProjectId

hss:event:downloadEvent

授予权限以下载事件告警。

read

event *

-

-

g:EnterpriseProjectId

hss:ars:createAppWhitelistPolicy

授予权限以创建应用进程白名单策略。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistPolicy

授予权限以查询应用进程白名单策略列表。

list

-

g:EnterpriseProjectId

hss:ars:changeAppWhitelistPolicy

授予权限以修改应用进程白名单策略。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:deleteAppWhitelistPolicy

授予权限以删除应用进程白名单策略。

write

-

g:EnterpriseProjectId

hss:ars:showAppWhitelistPolicy

授予权限以查询应用进程白名单策略信息。

list

-

g:EnterpriseProjectId

hss:ars:switchAppWhitelistPolicyHost

授予权限以修改应用进程白名单策略防护状态。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:addAppWhitelistPolicyHost

授予权限以添加主机到应用进程白名单策略。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistPolicyHost

授予权限以查询应用进程白名单策略的主机列表。

list

-

g:EnterpriseProjectId

hss:ars:deleteAppWhitelistPolicyHost

授予权限以删除应用进程白名单策略的主机。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistHostStatus

授予权限以查询应用进程白名单策略的可选服务器列表。

list

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistPolicyProcess

授予权限以查询应用进程白名单策略的进程列表。

list

-

g:EnterpriseProjectId

hss:ars:changeAppWhitelistPolicyProcessStatus

授予权限以修改应用进程白名单策略的进程可信状态。

write

-

g:EnterpriseProjectId

hss:ars:addAppWhitelistPolicyProcess

授予权限以添加进程到应用进程白名单策略。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistPolicyProcessExtend

授予权限以查询应用进程白名单策略的进程扩展列表。

list

host *

-

-

g:EnterpriseProjectId

hss:ars:exportAppWhitelistPolicyProcess

授予权限以导出应用进程白名单策略的进程列表。

list

host *

-

-

g:EnterpriseProjectId

hss:ars:switchAppWhitelistPolicyLearnStatus

授予权限以修改应用进程白名单策略学习状态。

write

host *

-

-

g:EnterpriseProjectId

hss:ars:showAppWhitelistAgentStatics

授予权限以查询不支持应用进程控制功能的旗舰版主机数量。

list

-

g:EnterpriseProjectId

hss:ars:listAppWhitelistEvent

授予权限以查询应用进程控制的可疑进程事件列表。

list

-

g:EnterpriseProjectId

hss:container:deleteSelfBuildK8sClusterDaemonsetInfo

授予权限以删除询自建集群daemonset。

write

-

g:EnterpriseProjectId

hss:container:saveSelfBuildK8sClusterDaemonsetInfo

授予权限以保存自建集群daemonset。

write

-

g:EnterpriseProjectId

hss:container:showSelfBuildK8sClusterDaemonsetInfo

授予权限以查询自建集群daemonset。

read

-

g:EnterpriseProjectId

hss:container:listSelfBuildK8sClusterInfo

授予权限以查询自建Kubernetes集群列表。

list

-

g:EnterpriseProjectId

hss:container:createDaemonset

授予权限以创建CCE集群daemonset。

write

-

g:EnterpriseProjectId

hss:vulnerability:listVulRepairCmds

授予权限以查询漏洞修复命令。

list

-

g:EnterpriseProjectId

hss:vulnerability:listUrgentVulnerabilities

授予权限以查询应急漏洞列表。

list

-

g:EnterpriseProjectId

hss:antivirus:createAntivirusTask

授予权限以创建病毒查杀任务。

write

host *

-

-

g:EnterpriseProjectId

hss:antivirus:listAntivirusTask

授予权限以查询病毒查杀任务列表。

list

-

g:EnterpriseProjectId

hss:antivirus:switchAntivirusTask

授予权限以取消病毒查杀任务。

write

host *

-

-

g:EnterpriseProjectId

hss:antivirus:listAntivirusHost

授予权限以查询病毒查杀可选服务器列表。

list

-

g:EnterpriseProjectId

hss:antivirus:createAntivirusPolicy

授予权限以创建自定义查杀策略。

write

host *

-

-

g:EnterpriseProjectId

hss:antivirus:listAntivirusPolicy

授予权限以查询自定义查杀策略列表。

list

-

g:EnterpriseProjectId

hss:antivirus:listAntivirusResult

授予权限以查询病毒查杀结果列表。

list

-

g:EnterpriseProjectId

hss:antivirus:operateAntivirusResult

授予权限以处置病毒查杀结果。

write

-

g:EnterpriseProjectId

hss:antivirus:exportAntivirusResult

授予权限以导出病毒查杀结果。

write

-

g:EnterpriseProjectId

hss:antivirus:showAntivirusStatistic

授予权限以查询病毒查杀统计信息。

list

-

g:EnterpriseProjectId

hss:image:showImageFullScanProgress

授予权限以查询镜像全量扫描进展。

list

-

g:EnterpriseProjectId

hss:host:changeHostIgnoreStatus

授予权限以忽略或取消忽略主机。

write

host *

-

-

g:EnterpriseProjectId

hss:host:listIgnoreHosts

授予权限以查询已忽略主机。

list

host *

-

-

g:EnterpriseProjectId

hss:image:batchExportBaselineTask

授予权限以导出镜像基线检查结果。

write

-

g:EnterpriseProjectId

hss:image:showImageSecurityReportStatistic

授予权限以查询镜像安全报告导出统计。

write

-

g:EnterpriseProjectId

hss:vulnerability:exportVuls

授予权限以创建漏洞导出任务。

write

-

g:EnterpriseProjectId

hss:exportTask:queryExportTask

授予权限以查询导出任务。

list

-

g:EnterpriseProjectId

hss:file:downloadExportedFile

授予权限以下载文件。

list

-

g:EnterpriseProjectId

hss:image:listGlobalVulnerabilities

授予权限以查询租户的漏洞信息。

list

-

g:EnterpriseProjectId

hss:image:listVulnerabilityImages

授予权限以查询单个漏洞影响的镜像仓库中的镜像信息。

list

-

g:EnterpriseProjectId

hss:setting:getPluginInstallScript

授予权限以查询服务器安装的插件信息。

list

-

g:EnterpriseProjectId

hss:setting:getPluginList

授予权限以查询插件安装指南信息。

list

-

g:EnterpriseProjectId

hss:setting:getAutoOpenQuotaStatus

授予权限以查询自动绑定配额开关状态。

read

-

g:EnterpriseProjectId

hss:setting:changeAutoOpenQuotaStatus

授予权限以修改自动绑定配额开关状态。

write

-

g:EnterpriseProjectId

hss:image:batchExportSWRVulTask

授予权限以导出swr镜像漏洞结果。

write

-

g:EnterpriseProjectId

hss:image:batchExportLocalVulTask

授予权限以导出本地镜像漏洞结果。

write

-

g:EnterpriseProjectId

hss:vulnerability:exportVulReport

授予权限以导出html格式的漏洞报告。

list

-

g:EnterpriseProjectId

hss:vulnerability:getVulReportData

授予权限以获取pdf漏洞报告的数据。

list

-

g:EnterpriseProjectId

hss:setting:getAgentAutoUpgradeStatus

授予权限以查询agent自动升级开关状态。

read

-

g:EnterpriseProjectId

hss:setting:changeAgentAutoUpgradeStatus

授予权限以修改agent自动升级开关状态。

write

-

g:EnterpriseProjectId

hss:quota:showProductdataOfferingInfos

授予权限以查询商品信息。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageAppInfo

授予权限以查询本地镜像软件列表。

list

-

g:EnterpriseProjectId

hss:image:listLocalImageAppVulnerabilities

授予权限以查询本地镜像单个软件漏洞列表。

list

-

g:EnterpriseProjectId

HSS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。

表2 API与授权项的关系

API

对应的授权项

依赖的授权项

POST /v5/{project_id}/host-management/groups

hss:host:addHostsGroup

eps:enterpriseProjects:list

PUT /v5/{project_id}/event/blocked-ip

hss:event:changeBlockedIp

eps:enterpriseProjects:list

GET /v5/{project_id}/backup/policy

hss:antiransomware:getRansomwareHSSBackupPolicyInfo

eps:enterpriseProjects:list

GET /v5/{project_id}/container/nodes

hss:container:listContainerNodes

eps:enterpriseProjects:list

GET /v5/{project_id}/host-management/groups

hss:host:listHostGroups

eps:enterpriseProjects:list

GET /v5/{project_id}/policy/groups

hss:policy:listPolicyGroup

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/ports/detail

hss:asset:listPortHost

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/processes/detail

hss:asset:listProcessesHost

eps:enterpriseProjects:list

GET /v5/{project_id}/ransomware/protection/policy

hss:antiransomware:listRansomwareProtectionPolicy

eps:enterpriseProjects:list

GET /v5/{project_id}/ransomware/server

hss:antiransomware:listRansomwareProtectionServer

eps:enterpriseProjects:list

GET /v5/{project_id}/webtamper/static/protect-history

hss:wtp:listWtpHostProtectHistoryInfo

eps:enterpriseProjects:list

GET /v5/{project_id}/webtamper/rasp/protect-history

hss:wtp:listWtpHostRaspProtectHistoryInfo

eps:enterpriseProjects:list

GET /v5/{project_id}/webtamper/hosts

hss:wtp:listWtpProtectHost

  • eps:enterpriseProjects:list
  • vpc:ports:list

POST /v5/{project_id}/webtamper/static/status

hss:wtp:setWtpProtectionStatusInfo

eps:enterpriseProjects:list

POST /v5/{project_id}/webtamper/rasp/status

hss:wtp:setWtpProtectSwitch

eps:enterpriseProjects:list

POST /v5/{project_id}/ransomware/protection/open

hss:antiransomware:startRansomwareProtection

eps:enterpriseProjects:list

POST /v5/{project_id}/ransomware/protection/close

hss:antiransomware:stopRansomwareProtection

eps:enterpriseProjects:list

PUT /v5/{project_id}/backup/policy

hss:antiransomware:updateRansomwareBackupPolicyInfo

eps:enterpriseProjects:list

PUT /v5/{project_id}/ransomware/protection/policy

hss:antiransomware:updateRansomwareProtectionPolicy

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/statistics

hss:asset:getAssetStatistic

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/app/change-history

hss:asset:listAppChangeHistories

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/apps

hss:asset:listApps

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/app/statistics

hss:asset:listAppStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/auto-launch/change-history

hss:asset:listAutoLaunchChangeHistories

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/auto-launchs

hss:asset:listAutoLaunchs

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/auto-launch/statistics

hss:asset:listAutoLaunchStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/midwares/detail

hss:asset:listJarPackageHostInfo

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/midwares

hss:asset:listJarPackageStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/ports

hss:asset:listPorts

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/port/statistics

hss:asset:listPortStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/process/statistics

hss:asset:listProcessStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/user/change-history

hss:asset:listUserChangeHistories

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/users

hss:asset:listUsers

eps:enterpriseProjects:list

GET /v5/{project_id}/asset/user/statistics

hss:asset:listUserStatistics

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/check-rule/detail

hss:baseline:getCheckRuleDetail

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/risk-config/{check_name}/detail

hss:baseline:getRiskConfigDetail

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/password-complexity

hss:baseline:listPasswordComplexity

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/risk-config/{check_name}/check-rules

hss:baseline:listRiskConfigCheckRules

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/risk-config/{check_name}/hosts

hss:baseline:listRiskConfigHosts

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/risk-configs

hss:baseline:listRiskConfigs

eps:enterpriseProjects:list

GET /v5/{project_id}/baseline/weak-password-users

hss:baseline:listWeakPasswordUsers

eps:enterpriseProjects:list

POST /v5/{project_id}/event/operate

hss:event:changeEvent

eps:enterpriseProjects:list

PUT /v5/{project_id}/event/isolated-file

hss:event:changeIsolatedFile

eps:enterpriseProjects:list

GET /v5/{project_id}/event/white-list/alarm

hss:event:listAlarmWhiteList

eps:enterpriseProjects:list

GET /v5/{project_id}/event/blocked-ip

hss:event:listBlockedIp

eps:enterpriseProjects:list

GET /v5/{project_id}/event/isolated-file

hss:event:listIsolatedFile

eps:enterpriseProjects:list

GET /v5/{project_id}/event/events

hss:event:listSecurityEvents

eps:enterpriseProjects:list

PUT /v5/{project_id}/host-management/groups

hss:host:changeHostsGroup

eps:enterpriseProjects:list

DELETE /v5/{project_id}/host-management/groups

hss:host:deleteHostsGroup

eps:enterpriseProjects:list

GET /v5/{project_id}/host-management/hosts

hss:host:listHostStatus

  • eps:enterpriseProjects:list
  • vpc:ports:list
  • eip:publicIps:list

POST /v5/{project_id}/host-management/protection

hss:host:switchHostsProtectStatus

eps:enterpriseProjects:list

POST /v5/{project_id}/policy/deploy

hss:policy:associatePolicyGroup

eps:enterpriseProjects:list

POST /v5/{project_id}/{resource_type}/{resource_id}/tags/create

hss:quota:batchCreateTags

eps:enterpriseProjects:list

DELETE /v5/{project_id}/{resource_type}/{resource_id}/tags/{key}

hss:quota:deleteResourceInstanceTag

eps:enterpriseProjects:list

GET /v5/{project_id}/billing/quotas

hss:quota:getResourceQuotas

eps:enterpriseProjects:list

GET /v5/{project_id}/billing/quotas-detail

hss:quota:listQuotasDetail

eps:enterpriseProjects:list

PUT /v5/{project_id}/vulnerability/status

hss:vulnerability:changeVulStatus

eps:enterpriseProjects:list

GET /v5/{project_id}/vulnerability/host/{host_id}

hss:vulnerability:listHostVuls

eps:enterpriseProjects:list

GET /v5/{project_id}/vulnerability/hosts

hss:vulnerability:listVulHosts

eps:enterpriseProjects:list

GET /v5/{project_id}/vulnerability/vulnerabilities

hss:vulnerability:listVulnerabilities

eps:enterpriseProjects:list

GET /v5/{project_id}/vulnerability/scan-policy

hss:vulnerability:getVulScanPolicy

-

PUT /v5/{project_id}/vulnerability/scan-policy

hss:vulnerability:changeVulScanPolicy

-

GET /v5/{project_id}/vulnerability/scan-tasks

hss:vulnerability:listVulScanTask

-

GET /v5/{project_id}/vulnerability/scan-task/{task_id}/hosts

hss:vulnerability:listVulScanTaskHost

-

GET /v5/{project_id}/vulnerability/statistics

hss:vulnerability:listHostVulStatistics

-

GET /v5/{project_id}/image/baseline/risk-configs

hss:image:listImageRiskConfigs

-

GET /v5/{project_id}/image/baseline/check-rule/detail

hss:image:getImageCheckRuleDetail

-

GET /v5/{project_id}/image/swr-repository

hss:image:listSwrImageRepository

-

POST /v5/{project_id}/image/batch-scan

hss:image:batchScanSwrImage

-

GET /v5/{project_id}/image/{image_id}/vulnerabilities

hss:image:vulnerabilities

-

GET /v5/{project_id}/image/vulnerability/{vul_id}/cve

hss:image:listVulnerabilityCve

-

GET /v5/{project_id}/image/baseline/risk-configs/{check_name}/rules

hss:image:listImageRiskConfigRules

-

POST /v5/{project_id}/image/synchronize

hss:image:runImageSynchronize

-

GET /v5/{project_id}/product/productdata/offering-infos

hss:quota:showProductdataOfferingInfos

-

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。

HSS定义了以下可以在SCP的Resource元素中使用的资源类型。

表3 HSS支持的资源类型

资源类型

URN

host

hss:<region>:<account-id>:host:<host-id>

event

hss:<region>:<account-id>:event:<event-id>

baseline

hss:<region>:<account-id>:baseline:<type>/<check_rule_id>

policy

hss:<region>:<account-id>:policy:<resource-type>/<type-id>

条件(Condition)

HSS服务不支持在SCP中的条件键中配置服务级的条件键。

HSS可以使用适用于所有服务的全局条件键,请参考全局条件键

相关文档