Saat membuat instans terpercaya, Anda harus menggunakan Sistem Tepercaya Alibaba Cloud dan mengaktifkan izin tertentu agar instans dapat melaporkan informasi kepercayaan ke Security Center Alibaba Cloud. Topik ini menjelaskan cara membuat instans Elastic Compute Service (ECS) yang dapat dipercaya dengan menggunakan Sistem Tepercaya Alibaba Cloud.
Membuat instans terpercaya
Membuat instans terpercaya di konsol ECS
Di konsol ECS, Anda dapat membuat instans terpercaya serupa dengan pembuatan instans biasa. Namun, beberapa pengaturan spesifik perlu diperhatikan saat membuat instans terpercaya. Bagian ini berfokus pada pengaturan khusus untuk instans terpercaya di halaman pembelian instans. Untuk informasi tentang pengaturan umum, lihat Membuat instans menggunakan wizard.
Buka ECS console - Instance.
Klik Create Instance.
Konfigurasikan pengaturan di langkah Konfigurasi Dasar.
Perhatikan parameter berikut:
Instance Type: Pilih tipe instans yang mendukung fitur virtual Trusted Platform Module (vTPM). Untuk informasi lebih lanjut tentang keluarga instans yang mendukung vTPM, lihat bagian Keluarga instans yang mendukung kemampuan komputasi tepercaya dari topik "Ikhtisar".
Image:
Pilih Trusted System.
CatatanJika Anda memilih Trusted System, Sistem Tepercaya Alibaba Cloud akan diaktifkan untuk instans tersebut. Sistem ini melakukan verifikasi kepercayaan saat instans mulai. Abaikan langkah ini jika Anda ingin menggunakan sistem layanan tepercaya yang dikelola sendiri.
Pilih versi gambar yang didukung oleh keluarga instans yang dipilih.
Klik Next untuk melanjutkan ke langkah Jaringan. Jika kotak dialog Activate KMS muncul, klik Activate.
Pastikan Key Management Service (KMS) diaktifkan saat membuat instans terpercaya. Jika tidak, instans tidak dapat dibuat.
(Wajib) Klik Next untuk melanjutkan ke langkah Konfigurasi Sistem.
Jika Trusted System dipilih, Anda harus menentukan Peran RAM untuk instans. Peran RAM harus memiliki akses ke Sistem Tepercaya Alibaba Cloud. Alibaba Cloud menyediakan peran terhubung layanan AliyunECSInstanceForYundunSysTrustRole. Kami merekomendasikan agar Anda mengonfigurasi dan memilih peran ini dengan mengikuti langkah-langkah berikut.
CatatanAnda juga dapat membuat peran dan memberikan izin sesuai kebutuhan. Untuk informasi tentang tindakan pencegahan dalam membuat peran RAM, lihat bagian "Tindakan pencegahan dalam memberikan izin kepada peran RAM" dari topik ini.
Klik here.
Di kotak dialog Cloud Resource Access Authorization, klik Authorize.
Di halaman yang muncul, klik Confirm Authorization Policy.
Klik Authorized.
Pilih AliyunECSInstanceForYundunSysTrustRole sebagai Peran RAM.
CatatanAnda juga dapat melewati langkah otorisasi dan memberikan izin setelah instans dibuat. Untuk informasi lebih lanjut, lihat Lampirkan peran RAM instans ke instans ECS.
Ikuti petunjuk di layar untuk menyelesaikan pembuatan instans.
Membuat instans terpercaya dengan memanggil operasi API
Saat memanggil operasi API untuk membuat instans terpercaya, perhatikan item berikut:
Pastikan Key Management Service (KMS) diaktifkan. Jika tidak, instans tidak dapat dibuat. Untuk informasi lebih lanjut, lihat Beli instans KMS khusus.
Jika Anda ingin menggunakan Sistem Tepercaya Alibaba Cloud, tentukan Peran RAM yang memiliki akses ke sistem tersebut untuk instans terpercaya. Dengan cara ini, instans terpercaya melaporkan informasi kepercayaan ke Security Center Alibaba Cloud saat startup. Untuk informasi lebih lanjut, lihat Lampirkan peran RAM instans ke instans ECS. Untuk informasi tentang tindakan pencegahan dalam membuat peran RAM, lihat bagian "Tindakan pencegahan dalam memberikan izin kepada peran RAM" dari topik ini.
CatatanJika Anda ingin menggunakan sistem layanan tepercaya yang dikelola sendiri, Anda tidak perlu menentukan Peran RAM untuk instans.
Anda dapat memanggil operasi RunInstances atau CreateInstance untuk membuat instans. Tabel berikut menjelaskan beberapa parameter penting yang perlu diperhatikan.
Parameter | Deskripsi | Contoh |
InstanceType | Tipe instans. Pilih tipe instans yang mendukung vTPM. Untuk informasi tentang keluarga instans yang mendukung vTPM, lihat bagian Keluarga instans yang mendukung kemampuan komputasi tepercaya dari topik "Ikhtisar". | ecs.c6t.large |
ImageId | ID gambar. Anda dapat memanggil operasi DescribeImages untuk menanyakan ID gambar. | aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd |
SystemDisk.Category | Kategori disk sistem. Hanya SSD yang ditingkatkan (ESSD) yang dapat digunakan sebagai disk sistem pada instans terpercaya. | cloud_essd |
VSwitchId | ID vSwitch. Parameter ini diperlukan karena semua instans terpercaya berada di virtual private clouds (VPC). | vsw-bp134jzf285qg9u6w**** |
RamRoleName | Nama peran RAM instans. Anda juga dapat memanggil operasi AttachInstanceRamRole untuk melampirkan peran RAM instans ke instans setelah instans dibuat. | AliyunECSInstanceForYundunSysTrustRole |
UserData | Skrip instalasi yang digunakan untuk menginstal Sistem Tepercaya Alibaba Cloud, yang harus dikodekan dalam Base64. Untuk informasi tentang konten skrip dalam teks biasa sebelum skrip dikodekan dalam Base64, lihat bagian "Skrip yang digunakan untuk menginstal Sistem Tepercaya Alibaba Cloud" dari topik ini. | |
SecurityOptions.TrustedSystemMode | Mode sistem tepercaya. Saat Anda memanggil operasi RunInstances untuk membuat instans terpercaya, Anda harus mengatur Catatan Anda hanya dapat memanggil operasi RunInstances untuk membuat instans terpercaya. Jika Anda memanggil operasi CreateInstance, Anda tidak dapat menentukan parameter | vTPM |
Contoh permintaan:
https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=IyEvYmluL3NoCkNVUlBBVEg9YHB3ZGAKU0NSSVBUX1BBVEg9Ii9kb3dubG9hZC9saW51eC9zY3JpcHQvVHJ1c3RBZ2VudEluc3RhbGwuc2giClJFR0lPTl9JRD1gY3VybCAtcyAtLXJldHJ5IDEgLS1tYXgtdGltZSAzIGh0dHA6Ly8xMDAuMTAwLjEwMC4yMDAvbGF0ZXN0L21ldGEtZGF0YS9yZWdpb24taWRgClVQREFURV9TSVRFMT1odHRwOi8vdHJ1c3RjbGllbnQtJHtSRUdJT05fSUR9Lm9zcy0ke1JFR0lPTl9JRH0taW50ZXJuYWwuYWxpeXVuY3MuY29tClVQREFURV9TSVRFMj1odHRwOi8vdHJ1c3RjbGllbnQtJHtSRUdJT05fSUR9Lm9zcy0ke1JFR0lPTl9JRH0uYWxpeXVuY3MuY29tClVQREFURV9TSVRFMz1odHRwOi8vdC10cnVzdGNsaWVudC0ke1JFR0lPTl9JRH0ub3NzLXskUkVHSU9OX0lEfS1pbnRlcm5hbC5hbGl5dW5jcy5jb20KTVNHX0lORk89ImRvd25sb2FkaW5nIGluc3RhbGwgc2NyaXB0IGZyb20gc2l0ZSIKTVNHX0VSUj0iZG93bmxvYWQgZmlsZSBlcnJvci4iCk1TR19PSz0idHJ1c3QgY2xpZW50IGluaXQgZG9uZS4iCgppbnN0YWxsKCkKewogIGVjaG8gIiR7TVNHX0lORk99IiIgMS4uLiIKICBjdXJsIC1mc1NMICIke1VQREFURV9TSVRFMX0iIiR7U0NSSVBUX1BBVEh9InxzaAogIGlmIFsgJD8gPT0gMCBdOyB0aGVuCiAgICByZXR1cm4gMQogIGZpCiAgZWNobyAiJHtNU0dfSU5GT30iIiAyLi4uIgogIGN1cmwgLWZzU0wgIiR7VVBEQVRFX1NJVEUyfSIiJHtTQ1JJUFRfUEFUSH0ifHNoCiAgaWYgWyAkPyA9PSAwIF07IHRhbgogICAgcmV0dXJuIDIKICBmaQogIGVjaG8gIiR7TVNHX0lORk99IiIgMy4uLiIKICBjdXJsIC1mc1NMICIke1VQREFURV9TSVRFM30iIiR7U0NSSVBUX1BBVEh9InxzaAogIGlmIFsgJD8gPT0gMCBdOyB0aGVuCiAgICByZXR1cm4gMwogIGZpCiAgZWNobyAiIiAxPiYyCiAgZXhpdCAxCn0KCmluc3RhbGwKZWNobyAiJHtNU0dfT0t9IgoKZXhpdCAwCg==
&<Common request parameters>Contoh respons sukses:
Format XML
<RunInstancesResponse> <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId> <InstanceIdSets> <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet> </InstanceIdSets> </RunInstancesResponse>Format JSON
{ "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672", "InstanceIdSets": { "InstanceIdSet": [ "i-bp16byi4f3fti5b3****" ] } }
Tindakan pencegahan dalam memberikan izin kepada peran RAM
Kami merekomendasikan agar Anda membuat kebijakan kustom yang mencakup izin minimum yang diperlukan dan melampirkannya ke peran RAM. Anda dapat mengatur jenis izin ke System Policy (AliyunSysTrustFullAccess) untuk Sistem Kepercayaan Alibaba Cloud. Anda juga dapat mengatur jenis izin ke Custom Policy. Potongan kode berikut menunjukkan kebijakan yang memberikan akses ke Sistem Kepercayaan Alibaba Cloud.
Memberikan terlalu banyak izin kepada peran RAM dapat menyebabkan risiko keamanan. Kami merekomendasikan agar Anda memberikan izin berdasarkan prinsip hak istimewa minimal. Untuk informasi lebih lanjut, lihat Apa itu RAM?
{
"Statement": [
{
"Action": [
"yundun-systrust:GenerateNonce",
"yundun-systrust:GenerateAikcert",
"yundun-systrust:ProduceAikcert",
"yundun-systrust:RegisterMessage",
"yundun-systrust:PutMessage",
"yundun-systrust:QuoteMessage"
],
"Resource": "*",
"Effect": "Allow"
}
],
"Version": "1"
}
Skrip yang digunakan untuk menginstal Sistem Tepercaya Alibaba Cloud
#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
REGION_ID=`curl -s --retry 1 --max-time 3 http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."
install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}
install
echo "${MSG_OK}"
exit 0