文档首页/ 安全云脑 SecMaster/ 用户指南/ 服务委托授权
更新时间:2025-06-24 GMT+08:00
查看PDF
分享

服务委托授权

操作场景

安全云脑功能对其他云服务资源有依赖,需要您将相关云服务的操作权限委托给安全云脑,让安全云脑以您的身份使用这些云服务,代替您进行一些任务调度、资源运维等工作。

当您首次使用安全云脑时,需要先进行委托授权操作,才能正常访问和使用安全云脑。具体待委托权限如下所示:

表1 委托权限

权限

权限描述

授权主体

权限用途

ECS FullAccess

弹性云服务器所有权限

SecMaster_Agency
  • 用于首次购买安全云脑场景,获取账号中的ECS主机资产信息。
  • 用于资产管理场景同步ECS资产信息。
  • 用于涉及到ECS相关的剧本流程执行,例如主机一键解封、主机一键隔离等。

WAF FullAccess

Web应用防火墙管理员

SecMaster_Agency
  • 用于涉及到WAF相关的剧本流程执行,比如WAF阻断、WAF地址组关联策略配置等。
  • 用于剧本流程中执行基线检查功能获取WAF网站防护信息。

SecMaster FullAccess

安全云脑管理员

SecMaster_Agency

用于执行告警处置等操作

HSS FullAccess

企业主机安全的所有权限

SecMaster_Agency
  • 用于资产管理场景同步资产信息时获取HSS资产信息。
  • 用于涉及到HSS相关的剧本流程执行,例如漏洞管理、主机隔离等。
  • 用于剧本流程中执行基线检查功能获取HSS安全状态。
  • 用于修复主机安全漏洞场景执行漏洞修复流程。

EPS ReadOnlyAccess

企业项目管理服务只读权限

SecMaster_Agency
  • 用于资产管理场景补全资产对应的企业项目名称等信息,获取企业项目列表和详情。
  • 用于WAF相关剧本流程的执行,例如内置流程“WAF删除空防护策略”执行时获取企业项目ID和企业项目名称信息。

Anti-DDoS ReadOnlyAccess

Anti-DDoS流量清洗服务只读权限

SecMaster_Agency
  • 用于资产管理场景查询DDoS信息。
  • 用于剧本流程中执行基线检查功能获取DDoS的信息。

IAM ReadOnlyAccess

统一身份认证服务的只读权限

SecMaster_Agency

用于剧本流程执行时,针对IAM用户进行批量阻断或批量取消阻断场景获取IAM用户名信息。

WAF Administrator

Web应用防火墙服务(WAF)管理员,拥有该服务下的所有权限

SecMaster_Agency
  • 用于资产管理场景同步资产信息时获取WAF的网站信息。
  • 用于涉及到WAF相关的剧本流程执行,比如WAF阻断、WAF地址组关联策略配置等。
  • 用于剧本流程中基线检查功能获取WAF网站防护信息。

SMN FullAccess

拥有消息通知服务的所有权限

SecMaster_Agency

用于通知类剧本流程的执行,比如高危告警自动通知等。

RDS ReadOnlyAccess

关系型数据库服务资源只读权限

SecMaster_Agency
  • 用于资产管理场景同步资产信息时获取RDS信息。
  • 用于剧本流程中执行基线检查功能获取RDS的数据库实例列表和详情信息。

EIP ReadOnlyAccess

EIP服务只读权限

SecMaster_Agency
  • 用于资产管理场景获取EIP列表和详情信息。
  • 用于剧本流程中执行基线检查功能获取EIP列表和详情信息。

Tenant Guest

全部云服务只读权限(除IAM权限)

SecMaster_Agency

用于基线检查场景查询用户的除IAM外其他云服务的资源信息。

NAT ReadOnlyAccess

NAT网关服务只读权限

SecMaster_Agency

资产管理场景同步资产信息时获取NAT信息。

VPC FullAccess

虚拟私有云所有权限

SecMaster_Agency
  • 用于资产管理场景同步资产信息时获取VPC信息。
  • 用于涉及VPC相关的剧本流程执行,例如安全组阻断、安全组取消阻断等。
  • 用于剧本流程中执行基线检查功能获取租户安全组信息。

OBS OperateAccess

具有对象存储服务(OBS)查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

SecMaster_Agency

用于使用OBS插件场景,查询、上传、下载对象。

ELB ReadOnlyAccess

弹性负载均衡服务只读权限

SecMaster_Agency
  • 用于同步ELB信息,补全告警受影响资产信息的场景使用。
  • 用于剧本流程中执行基线检查功能获取租户ELB资产信息。

CFW FullAccess

云防火墙所有权限

SecMaster_Agency
  • 用于资产管理场景同步资产信息时获取CFW防火墙信息。
  • 用于涉及CFW相关的剧本流程执行,比如CFW阻断、CFW一键解封等。

前提条件

  • 已完成IAM账号授权操作,详细操作请参见IAM账号授权
  • 已购买安全云脑。

服务委托授权

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,进入工作空间管理页面。

    图1 工作空间管理页面

  5. (可选)在空间管理页面上方单击“服务委托授权-当前租户”,右侧弹出授权页面。

    首次进入无需进行单击操作,页面将自动弹出服务委托授权页面。

  6. 在授权页面中,默认已勾选所需全部权限,请勾选权限下方的“同意授权”,并单击“确认”

按组织进行授权

安全云脑支持一键授予某个组织权限,授予后,组织中的所有用户均可以正常使用安全云脑服务,无需重复授权。

  • 什么是组织

    组织(Organizations)云服务为企业用户提供多账号关系的管理能力。Organizations支持用户将多个账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。在阅读本章节前,建议您先通过基本概念了解组织、组织单元等基本概念,以便更好地理解Organizations服务提供的功能。

  • 组织的主要功能

    Organizations服务的主要功能:

    • 集中管理企业多账号:企业可以将多个账号邀请加入组织,并根据企业的管理或工作方式将账号进行分层分组。
    • 集中控制每个账号可执行的操作:管理员通过使用服务控制策略,为组织或者组织单元设置权限边界,阻止组织内的成员账号对相应服务或者API的访问。
    • 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力。

前提条件

已创建组织,且已邀请账号加入组织,详细操作请参见创建组织邀请账号加入组织

约束与限制

仅组织管理员和委托管理员权限账号可执行“权限管理-按组织”操作。

组织管理员是指创建组织的账号,一个组织有且仅有1个组织管理员。

委托管理员更多信息请参考委托管理员

操作步骤

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,进入空间管理页面。

    图2 进入空间管理页面

  4. 在空间管理界面,单击空间管理后的“权限管理-按组织”,页面右侧弹出权限管理-按组织配置页面。
  5. 在权限管理-按组织页面中,选择需要授权的组织,并勾选“同意授权”
  6. 单击“确认”

相关文档