文档首页/ 安全云脑 SecMaster/ 用户指南/ 权限管理/ SecMaster自定义策略
更新时间:2025-09-30 GMT+08:00
查看PDF
分享

SecMaster自定义策略

如果系统预置的SecMaster权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考SecMaster权限及授权项

目前华为云支持以下两种方式创建自定义策略:

  • 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见:创建自定义策略。创建自定义策略添加资源路径时“指定安全云脑的资源路径”配置请参见表1

表1 SecMaster的指定资源与对应路径

指定资源

资源名称

资源路径URN

workspace

工作空间

secmaster:<region>:<account-id>:workspace:<workspace-id>

accountAgency

账号纳管

secmaster:<region>:<account-id>:accountAgency:<accountAgency-id>

playbook

剧本

secmaster:<region>:<account-id>:playbook:<workspace-id>/<playbook-id>

workflow

流程

secmaster:<region>:<account-id>:workflow:<workspace-id>/<workflow-id>

connection

资产连接

secmaster:<region>:<account-id>:connection:<workspace-id>/<connection-id>

task

待办

secmaster:<region>:<account-id>:task:<workspace-id>/<task-id>

indicator

情报

secmaster:<region>:<account-id>:indicator:<workspace-id>/<indicator-id>

alert

告警

secmaster:<region>:<account-id>:alert:<workspace-id>/<alert-id>

incident

事件

secmaster:<region>:<account-id>:incident:<workspace-id>/<incident-id>

dataobject

对象关系

secmaster:<region>:<account-id>:dataobject:<workspace-id>/<dataobject-id>

metric

指标

secmaster:<region>:<account-id>:metric:<workspace-id>/<metric-id>

resource

资产

secmaster:<region>:<account-id>:resource:<workspace-id>/<resource-id>

report

报告

secmaster:<region>:<account-id>:report:<workspace-id>/<report-id>

emergencyVulnerability

应急漏洞

secmaster:<region>:<account-id>:emergencyVulnerability:<workspace-id>/<emergency-vulnerability-id>

dataspace

数据空间

secmaster:<region>:<account-id>:dataspace:<workspace-id>/<dataspace-id>

pipe

管道

secmaster:<region>:<account-id>:pipe:<workspace-id>/<pipe-id>

alertRule

告警模型

secmaster:<region>:<account-id>:alertRule:<workspace-id>/<alertRule-id>

vulnerability

漏洞

secmaster:<region>:<account-id>:vulnerability:<workspace-id>/<vulnerability-id>

alertRuleTemplate

告警模板

secmaster:<region>:<account-id>:alertRuleTemplate:<workspace-id>/<alertRuleTemplate-id>

searchCondition

检索条件

secmaster:<region>:<account-id>:searchCondition:<workspace-id>/<searchCondition-id>

dataclass

数据类

secmaster:<region>:<account-id>:dataclass:<workspace-id>/<dataclass-id>

mapping

分类映射

secmaster:<region>:<account-id>:mapping:<workspace-id>/<mapping-id>

layout

布局

secmaster:<region>:<account-id>:layout:<workspace-id>/<layout-id>

catalogue

目录

secmaster:<region>:<account-id>:catalogue:<workspace-id>/<catalogue-id>

table

secmaster:<region>:<account-id>:table:<workspace-id>/<table-id>

policy

应急策略

secmaster:<region>:<account-id>:policy:<workspace-id>/<policy-id>

baseline

基线检查

secmaster:<region>:<account-id>:baseline:<workspace-id>/<baseline-id>

shipper

数据投递

secmaster:<region>:<account-id>:shipper:<workspace-id>/<shipper-id>

analysisScript

分析脚本

secmaster:<region>:<account-id>:analysisScript:<workspace-id>/<analysisScript-id>

collectorChannel

采集通道

secmaster:<region>:<account-id>:collectorChannel:<workspace-id>/<collectorChannel-id>

collectorChannelGroup

采集通道分组

secmaster:<region>:<account-id>:collectorChannelGroup:<workspace-id>/<collectorChannelGroup-id>

collectorConnection

采集器

secmaster:<region>:<account-id>:collectorConnection:<workspace-id>/<collectorConnection-id>

collectorParser

采集分析器

secmaster:<region>:<account-id>:collectorParser:<workspace-id>/<collectorParser-id>

component

组件

secmaster:<region>:<account-id>:component:<workspace-id>/<component-id>

node

节点

secmaster:<region>:<account-id>:node:<workspace-id>/<node-id>

本章为您介绍常用的SecMaster自定义策略样例。

SecMaster自定义策略样例

  • 示例1:授权用户搜索告警列表、权限执行分析 
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
    		 
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secmaster:alert:list",
                "secmaster:search:createAnalysis"
            ]
        }
    ]
}
  • 示例2:拒绝用户修改告警配置信息

    拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则

    如果您给用户授予“SecMaster FullAccess”的系统策略,但不希望用户拥有“SecMaster FullAccess”中定义的修改告警配置的权限,您可以创建一条拒绝修改告警类型的自定义策略,然后同时将“SecMaster FullAccess”和拒绝策略授予用户,根据Deny优先原则,则用户可以对SecMaster执行除了修改告警类型外的所有操作。拒绝策略示例如下:

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
    		 
    { 
         "Version": "1.1", 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "secmaster:alert:updateType"
            ]
        }
    ]
}
  • 示例3:多个授权项策略

    一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下:

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
    		 
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secmaster:alert:get",
                "secmaster:alert:update"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "hss:vuls:set",
                "hss:vuls:list"
            ]
        }
    ]
}
父主题: 权限管理

相关文档