如果您需要对您所拥有的HSS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果登录帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用HSS服务的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
主机安全(HSS)支持的自定义策略授权项如下所示:
授权列表,包含HSS对应的授权项,如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。
授权列表
| 权限 | 授权项 | 依赖的授权项 |
|---|---|---|
| 查询主机安全防护列表 | hss:hosts:list | vpc:ports:get vpc:publicIps:list ecs:cloudServers:list |
| 云服务器开启或关闭防护 | hss:hosts:switchVersion | - |
| 手动检测 | hss:hosts:manualDetect | - |
| 手动检测返回检测状态 | hss:manualDetectStatus:get | - |
| 查询弱口令检测报告 | hss:weakPwds:list | - |
| 查询帐户破解防护报告 | hss:accountCracks:list | - |
| 帐户破解防护解除拦截IP | hss:accountCracks:unblock | - |
| 查询恶意程序检测报告 | hss:maliciousPrograms:list | - |
| 查询异地登录检测报告 | hss:abnorLogins:list | - |
| 查询关键文件变更报告 | hss:keyfiles:list | - |
| 查询开放端口信息列表 | hss:ports:list | - |
| 查询漏洞列表 | hss:vuls:list | - |
| 批量操作漏洞 | hss:vuls:operate | - |
| 查询帐号信息列表 | hss:accounts:list | - |
| 查询软件信息列表 | hss:softwares:list | - |
| 查询Web路径列表 | hss:webdirs:list | - |
| 查询进程信息列表 | hss:processes:list | - |
| 查询配置检测报告 | hss:configDetects:list | - |
| 查询网站后门检测报告 | hss:Webshells:list | - |
| 查询风险帐号检测报告 | hss:riskyAccounts:list | - |
| 云服务器风险统计 | hss:riskyDashboard:get | - |
| 查询口令复杂度策略检测报告 | hss:complexityPolicys:list | - |
| 批量操作恶意程序 | hss:maliciousPrograms:operate | - |
| 批量操作开放端口 | hss:ports:operate | - |
| 操作配置检测风险 | hss:configDetects:operate | - |
| 批量操作网站后门 | hss:Webshells:operate | - |
| 设置常用登录地 | hss:commonLocations:set | - |
| 查询常用登录地 | hss:commonLocations:list | - |
| 设置常用登录IP | hss:commonIPs:set | - |
| 查询常用登录IP | hss:commonIPs:list | - |
| 设置登录IP白名单 | hss:whiteIps:set | - |
| 查询登录IP白名单 | hss:whiteIps:list | - |
| 设置自定义弱口令 | hss:weakPwds:set | - |
| 查询自定义弱口令 | hss:weakPwds:get | - |
| 设置Web路径 | hss:webDirs:set | - |
| 查询Web路径 | hss:webDirs:get | - |
| 查询双因子认证服务器列表 | hss:twofactorAuth:list | - |
| 设置双因子认证 | hss:twofactorAuth:set | - |
| 开启或关闭恶意程序自动隔离查杀 | hss:automaticKillMp:set | - |
| 查询恶意程序自动隔离查杀 | hss:automaticKillMp:get | - |
| 查询Agent下载地址 | hss:installAgent:get | - |
| 卸载Agent | hss:agent:uninstall | - |
| 查询主机安全告警 | hss:alertConfig:get | - |
| 设置主机安全告警 | hss:alertConfig:set | - |
| 查询网页防篡改防护列表 | hss:wtpHosts:list | vpc:ports:get vpc:publicIps:list ecs:cloudServers:list |
| 开启或关闭网页防篡改 | hss:wtpProtect:switch | - |
| 设置备份服务器 | hss:wtpBackup:set | - |
| 查询备份服务器 | hss:wtpBackup:get | - |
| 设置防护目录 | hss:wtpDirectorys:set | - |
| 查询防护目录列表 | hss:wtpDirectorys:list | - |
| 查询网页防篡改防护记录 | hss:wtpReports:list | - |
| 设置特权进程 | hss:wtpPrivilegedProcess:set | - |
| 查询特权进程列表 | hss:wtpPrivilegedProcesses:list | - |
| 设置防护模式 | hss:wtpProtectMode:set | - |
| 查询防护模式 | hss:wtpProtectMode:get | - |
| 设置防护文件系统 | hss:wtpFilesystems:set | - |
| 查询防护文件系统列表 | hss:wtpFilesystems:list | - |
| 设置定时关闭防护 | hss:wtpScheduledProtections:set | - |
| 查询定时关闭防护设置 | hss:wtpScheduledProtections:get | - |
| 设置网页防篡改告警 | hss:wtpAlertConfig:set | - |
| 查询网页防篡改告警 | hss:wtpAlertConfig:get | - |
| 查询网页防篡改统计信息 | hss:wtpDashboard:get | - |
| 查询策略组信息 | hss:policy:get | - |
| 设置策略组信息 | hss:policy:set | - |
| 查询入侵检测事件列表 | hss:event:get | - |
| 入侵检测事件操作 | hss:event:set | - |
| 查询服务器分组信息 | hss:hostGroup:get | - |
| 设置服务器组 | hss:hostGroup:set | - |
| 文件完整性管理 | hss:keyfiles:set | - |
| 查询关键文件变更报告 | hss:keyfiles:list | - |
| 查询自启动列表 | hss:launch:list | - |
