通过IAM角色或策略授予使用SecMaster的权限
如果您需要对您所拥有的SecMaster进行角色与策略的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以:
- 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用SecMaster资源。
- 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
- 将SecMaster资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用SecMaster服务的其它功能。
本章节为您介绍使用角色与策略的授权方法,操作流程如图1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的SecMaster权限,并结合实际需求进行选择,SecMaster支持的系统权限,请参见角色与策略权限管理。如果您需要对除SecMaster之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。
示例流程
- 创建用户组并授权
在IAM控制台创建用户组,并授予安全云脑只读权限“SecMaster ReadOnly”。
- 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
- 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:
- 在“服务列表”中选择安全云脑,进入SecMaster主界面,单击右上角“购买安全云脑”,尝试购买安全云脑,如果无法购买安全云脑(假设当前权限仅包含SecMaster ReadOnly),表示“SecMaster ReadOnly”已生效。
- 在“服务列表”中选择除安全云脑外(假设当前策略仅包含SecMaster ReadOnly)的任一服务,如果提示权限不足,表示“SecMaster ReadOnly”已生效。
SecMaster自定义策略样例
如果系统预置的SecMaster权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考策略授权参考。
目前华为云支持以下两种方式创建自定义策略:
- 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。下面为您介绍常用的SecMaster自定义策略样例。
- 示例1:授权用户创建工作空间、删除工作空间
1 2 3 4 5 6 7 8 9 10 11 12
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:workspace:delete", "secmaster:workspace:create" ] } ] }
- 示例2:拒绝用户删除数据空间
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。
如果您给用户授予SecMaster FullAccess的系统策略,但不希望用户拥有SecMaster FullAccess中定义的删除工作空间权限,您可以创建一条拒绝删除工作空间的自定义策略,然后同时将SecMaster FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对SecMaster执行除了删除工作空间外的所有操作。拒绝策略示例如下:
1 2 3 4 5 6 7 8 9 10 11 12 13
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "secmaster:workspace:delete", "secmaster:workspace:create", "secmaster:dataspace:delete" ] } ] }
- 示例3:多个授权项策略
一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:playbook:update", "secmaster:playbook:updateVersion", "secmaster:workspace:delete", "secmaster:workspace:create", "secmaster:dataspace:delete", "secmaster:playbook:approve", "secmaster:playbook:createVersion" ] } ] }
SecMaster资源
资源是服务中存在的对象。在SecMaster中,资源包括告警、剧本、流程、情报等,您可以在创建自定义策略时,通过指定资源路径来选择特定资源。
|
指定资源 |
资源路径 |
|---|---|
|
workspace |
secmaster:<region>:<account-id>:workspace:<workspace-id> |
|
playbook |
secmaster:<region>:<account-id>:playbook:<workspace-id>/<playbook-id> |
|
workflow |
secmaster:<region>:<account-id>:workflow:<workspace-id>/<workflow-id> |
|
connection |
secmaster:<region>:<account-id>:connection:<workspace-id>/<connection-id> |
|
task |
secmaster:<region>:<account-id>:task:<workspace-id>/<task-id> |
|
indicator |
secmaster:<region>:<account-id>:indicator:<workspace-id>/<indicator-id> |
|
alert |
secmaster:<region>:<account-id>:alert:<workspace-id>/<alert-id> |
|
incident |
secmaster:<region>:<account-id>:incident:<workspace-id>/<incident-id> |
|
dataobject |
secmaster:<region>:<account-id>:dataobject:<workspace-id>/<dataobject-id> |
|
metric |
secmaster:<region>:<account-id>:metric:<workspace-id>/<metric-id> |
|
resource |
secmaster:<region>:<account-id>:resource:<workspace-id>/<resource-id> |
|
report |
secmaster:<region>:<account-id>:report:<workspace-id>/<report-id> |
|
emergencyVulnerability |
secmaster:<region>:<account-id>:emergencyVulnerability:<workspace-id>/<emergency-vulnerability-id> |
|
dataspace |
secmaster:<region>:<account-id>:dataspace:<workspace-id>/<dataspace-id> |
|
pipe |
secmaster:<region>:<account-id>:pipe:<workspace-id>/<pipe-id> |
|
alertRule |
secmaster:<region>:<account-id>:alertRule:<workspace-id>/<alertRule-id> |
|
vulnerability |
secmaster:<region>:<account-id>:vulnerability:<workspace-id>/<vulnerability-id> |
|
alertRuleTemplate |
secmaster:<region>:<account-id>:alertRuleTemplate:<workspace-id>/<alertRuleTemplate-id> |
|
searchCondition |
secmaster:<region>:<account-id>:searchCondition:<workspace-id>/<searchCondition-id> |
|
dataclass |
secmaster:<region>:<account-id>:dataclass:<workspace-id>/<dataclass-id> |
|
mapping |
secmaster:<region>:<account-id>:mapping:<workspace-id>/<mapping-id> |
|
layout |
secmaster:<region>:<account-id>:layout:<workspace-id>/<layout-id> |
|
catalogue |
secmaster:<region>:<account-id>:catalogue:<workspace-id>/<catalogue-id> |
|
table |
secmaster:<region>:<account-id>:table:<workspace-id>/<table-id> |
|
policy |
secmaster:<region>:<account-id>:policy:<workspace-id>/<policy-id> |
|
baseline |
secmaster:<region>:<account-id>:baseline:<workspace-id>/<baseline-id> |
|
shipper |
secmaster:<region>:<account-id>:shipper:<workspace-id>/<shipper-id> |
|
analysisScript |
secmaster:<region>:<account-id>:analysisScript:<workspace-id>/<analysisScript-id> |
|
collectorChannel |
secmaster:<region>:<account-id>:collectorChannel:<workspace-id>/<collectorChannel-id> |
|
collectorChannelGroup |
secmaster:<region>:<account-id>:collectorChannelGroup:<workspace-id>/<collectorChannelGroup-id> |
|
collectorConnection |
secmaster:<region>:<account-id>:collectorConnection:<workspace-id>/<collectorConnection-id> |
|
collectorParser |
secmaster:<region>:<account-id>:collectorParser:<workspace-id>/<collectorParser-id> |
|
component |
secmaster:<region>:<account-id>:component:<workspace-id>/<component-id> |
|
node |
secmaster:<region>:<account-id>:node:<workspace-id>/<node-id> |
|
accountAgency |
secmaster:<region>:<account-id>:accountAgency:<accountAgency-id> |
SecMaster请求条件
您可以在创建自定义策略时,通过添加“请求条件”(Condition元素)来控制策略何时生效。请求条件包括条件键和运算符,条件键表示策略语句的 Condition 元素,分为全局级条件键和服务级条件键。全局条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如secmaster:)仅适用于对应服务的操作。运算符与条件键一起使用,构成完整的条件判断语句。
SecMaster支持的服务级条件键为secmaster:TargetRegion,条件键说明如下:
|
SecMaster条件键 |
运算符 |
描述 |
|---|---|---|
|
secmaster:TargetRegion |
字符串 |
仅Action secmaster:workspace:createAgency支持该服务级条件键。 根据请求中的托管空间的region属性过滤条件键secmaster:TargetRegion指定的目标区域(Region)。 |
