文档中心>多云安全治理服务

授权腾讯云账号

最近更新时间:2024-11-18 10:30:43

我的收藏

本页目录:

接入多云安全治理服务,在您申请试用并开通多云安全治理服务后,需要您登录自己的云账号进行角色授权。完成授权后,才可以使用多云安全治理服务进行安全评估。
假设 A 账号开通了多云安全治理服务,您期望使用 A 账号的多云安全治理服务来管理 B 账号的云资产(或者 A 账号自身的云资产),操作步骤如下。

步骤1:登录 B 账号,进行云账号角色授权

1. 登录 访问管理控制台,在左侧导览中,单击角色

2. 在角色页面中,单击新建角色,并选择:腾讯云账户。

3. 在输入角色载体信息页面,云账号类型选择:其他主账号,并填写:92000001038。此账号为官方服务账号,会对您的云资产进行安全评估。填写完成后,单击下一步

4. 在配置角色策略页面,直接单击下一步,后续步骤再配置所需的策略。

5. 在配置角色标签页面,可填写该角色的标签键和标签值(按需填写),完成后,单击下一步

6. 在审阅页面,请将角色名称配置为:SecurityService_QCSRole_A账号的账号ID。例如,如果 A 账号的账号 ID 为123,则填写为:SecurityService_QCSRole_123

您可以在 账号信息页面,查看您的主账号ID
若您为主账号登录,则页面中的账号 ID 即为您的主账号 ID。

若您为子账号登录,则所属主账号即为您的主账号 ID。

7. 新建自定义策略并配置权限。在 访问管理-策略页面,单击新建自定义策略

8. 用户可根据需求自定义添加策略规则,建议选择按策略语法创建。

9. 选择空白模板,添加自定义权限策略,单击下一步

10. 您可以自定义填写策略名称和描述,策略内容按如下提供的内容进行复制填写,单击完成

自定义策略内容
  {
    "statement": [
      {
        "action": "*",
        "condition": {
          "numeric_equal": {
            "qcs:read_only_action": 1
          }
        },
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": [
          "waf:*"
        ],
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": [
          "cfw:*"
        ],
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": [
          "csip:*"
        ],
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": [
          "cam:GetRole",
          "cam:ListAttachedRolePolicies",
          "cvm:DescribeInstances",
          "cvm:DescribeInstancesStatus",
          "cvm:DescribeAddresses",
          "vpc:DescribeVpcEx",
          "vpc:DescribeNatGateways",
          "vpc:DescribeVpnGw",
          "clb:DescribeLoadBalancers",
          "ssa:DescribeQueryParams",
          "ssa:DescribeAssetHubDbAssetList"
        ],
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": "cwp:*",
        "effect": "allow",
        "resource": "*"
      },
      {
        "action": "tcss:*",
        "effect": "allow",
        "resource": "*"
      }
    ],
    "version": "2.0"
  }
11. 访问管理-策略页面,选择刚刚创建的策略,单击关联用户/组/角色

12. 切换为角色,勾选角色 SecurityService_QCSRole_xxx,单击确定


步骤2:登录 A 账号,进行绑定云账号

1. 登录 多云安全治理服务控制台,在左侧导览中,单击系统设置 > 授权设置
2. 在云账号授权设置页面,单击新增授权,选择授权方式为腾讯云 > 云角色,填写 步骤1 中完成角色授权的云账号,验证通过后,单击绑定即可完成绑定授权。
3. 由于本次需要绑定 A 与 B 两个账号,因此,需要分别绑定两个账号的 ID。


登录 B 账号,进行授权 TKE 容器集群扫描(可选)

多云安全治理服务支持针对 TKE 容器集群的高危权限配置风险扫描,需要单独进行授权。若您需要针对该风险进行扫描,请您按照下述授权指引继续进行授权操作。
1. 登录 容器服务控制台,在左侧导览中,单击集群
2. 在集群页面,选择目标地域,单击目标集群名称
3. 在集群控制台页面,单击授权管理 > ClusterRoleBinding > RBAC 策略生成器

4. 在选择账号页面,账号类型为服务角色,选择账号为 SecurityService_QCSRole_xxx

5. 在选择权限设置,选择所有 Namespaces,权限管理员,单击完成即授权成功。
注意:
每次只能对一个集群授权,可能需要用户批量授权,才可以对其他剩余集群进行扫描。


中国站
目录