Buat instans terpercaya dengan izin yang diperlukan untuk melaporkan informasi kepercayaan ke Security Center.
Buat instans terpercaya
Console
Pembuatan instans terpercaya mengikuti langkah-langkah yang sama seperti instans biasa, dengan konfigurasi berikut. Untuk konfigurasi umum, lihat Buat instans menggunakan wizard.
Buka ECS console - Instances.
-
Klik Create Instance.
-
Pada bagian Instance and Image, konfigurasikan pengaturan berikut.
-
Instance: Pilih tipe instans yang mendukung vTPM. Lihat Keluarga instans yang mendukung trusted computing.
-
Images:
-
Pilih Trusted System.
CatatanJika Anda memilih Trusted System, Alibaba Cloud Trusted System diaktifkan dan melakukan verifikasi kepercayaan saat startup. Lewati langkah ini jika Anda membangun sistem layanan tepercaya sendiri.
-
Pilih versi gambar yang didukung untuk keluarga instans Anda.
-
-
-
Pada bagian Bandwidth and Security Group, pilih security group. Jika muncul kotak dialog Activate KMS, klik Activate.
KMS harus diaktifkan. Jika tidak, pembuatan instans akan gagal.
-
Klik Advanced Options dan konfigurasikan Instance RAM Role .
Jika Anda memilih Trusted System, tetapkan peran RAM dengan izin layanan tepercaya. Alibaba Cloud menyediakan peran AliyunECSInstanceForYundunSysTrustRole. Ikuti langkah-langkah berikut untuk menetapkannya:
CatatanUntuk peran kustom, lihat Catatan penggunaan.
-
Klik Authorize.

-
Pada kotak dialog Authorize Access to Cloud Resources, klik Authorize
-
Di jendela baru, klik Authorize.
-
Klik Authorized.

-
Pilih peran RAM AliyunECSInstanceForYundunSysTrustRole.
CatatanAnda juga dapat memberikan otorisasi setelah instans dibuat. Lihat Instance RAM role.
-
-
Selesaikan konfigurasi yang tersisa dan buat instans tersebut.
API
Saat memanggil API untuk membuat instans terpercaya, perhatikan hal-hal berikut:
-
Aktifkan KMS terlebih dahulu. Jika tidak, pembuatan instans akan gagal. Lihat Aktifkan Key Management Service.
-
Jika Anda menggunakan Alibaba Cloud Trusted System, tetapkan peran RAM dengan izin layanan tepercaya agar instans dapat melaporkan informasi kepercayaan ke Security Center saat startup. Lihat Instance RAM role. Untuk peran RAM kustom, lihat Catatan penggunaan.
CatatanJika Anda membangun sistem layanan tepercaya sendiri, peran RAM ini tidak diperlukan.
Panggil RunInstances atau CreateInstance untuk membuat instans. Konfigurasikan parameter berikut.
|
Parameter |
Description |
Example |
|
InstanceType |
Tentukan tipe instans yang mendukung vTPM. Lihat Keluarga instans yang mendukung trusted computing. |
ecs.c6t.large |
|
ImageId |
Tentukan ID gambar yang mendukung instans terpercaya. Panggil DescribeImages untuk menanyakan ID gambar. |
aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd |
|
SystemDisk.Category |
Hanya ESSD yang didukung. |
cloud_essd |
|
VSwitchId |
Hanya VPC yang didukung. Tentukan ID vSwitch. |
vsw-bp134jzf285qg9u6w**** |
|
RamRoleName |
Tentukan nama peran RAM. Anda juga dapat memanggil AttachInstanceRamRole untuk menetapkan peran setelah instans dibuat. |
AliyunECSInstanceForYundunSysTrustRole |
|
UserData |
Tentukan skrip instalasi Alibaba Cloud Trusted System yang telah dikodekan Base64. Untuk skrip teks biasa sebelum dikodekan Base64, lihat Skrip untuk menginstal Alibaba Cloud Trusted System. |
|
|
SecurityOptions.TrustedSystemMode |
Mode sistem tepercaya. Saat Anda memanggil RunInstances dengan InstanceType diatur ke g7t, c7t, atau r7t, atur Catatan
Untuk membuat instans ECS sistem tepercaya menggunakan API, Anda hanya dapat memanggil RunInstances. CreateInstance tidak mendukung |
vTPM |
Contoh permintaan:
https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<Common request parameters>
Contoh tanggapan:
-
Format XML
<RunInstancesResponse> <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId> <InstanceIdSets> <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet> </InstanceIdSets> </RunInstancesResponse> -
Format JSON
{ "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672", "InstanceIdSets": { "InstanceIdSet": [ "i-bp16byi4f3fti5b3****" ] } }
Catatan penggunaan
Buat kebijakan kustom dengan izin minimum yang diperlukan dan sambungkan ke peran RAM. Anda dapat menggunakan System Policy (AliyunSysTrustFullAccess) atau Custom Policy. Kebijakan berikut memberikan izin detail halus untuk layanan tepercaya:
Izin RAM melibatkan risiko keamanan. Ikuti prinsip hak istimewa minimal dan hindari pemberian izin berlebihan. Lihat Apa itu Resource Access Management.
{
"Statement": [
{
"Action": [
"yundun-systrust:GenerateNonce",
"yundun-systrust:GenerateAikcert",
"yundun-systrust:ProduceAikcert",
"yundun-systrust:RegisterMessage",
"yundun-systrust:PutMessage",
"yundun-systrust:QuoteMessage"
],
"Resource": "*",
"Effect": "Allow"
}
],
"Version": "1"
}
Skrip untuk menginstal Alibaba Cloud Trusted System
#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
TOKEN=`curl -s -X PUT -H "X-aliyun-ecs-metadata-token-ttl-seconds: 5" "http://100.100.100.200/latest/api/token"`
REGION_ID=`curl -s -H "X-aliyun-ecs-metadata-token: $token" http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."
install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}
install
echo "${MSG_OK}"
exit 0