All Products
Search
Document Center

Elastic Compute Service:Buat instans terpercaya

Last Updated:May 16, 2026

Buat instans terpercaya dengan izin yang diperlukan untuk melaporkan informasi kepercayaan ke Security Center.

Buat instans terpercaya

Console

Pembuatan instans terpercaya mengikuti langkah-langkah yang sama seperti instans biasa, dengan konfigurasi berikut. Untuk konfigurasi umum, lihat Buat instans menggunakan wizard.

  1. Buka ECS console - Instances.

  2. Klik Create Instance.

  3. Pada bagian Instance and Image, konfigurasikan pengaturan berikut.

    • Instance: Pilih tipe instans yang mendukung vTPM. Lihat Keluarga instans yang mendukung trusted computing.

    • Images:

      1. Pilih Trusted System.

        Catatan

        Jika Anda memilih Trusted System, Alibaba Cloud Trusted System diaktifkan dan melakukan verifikasi kepercayaan saat startup. Lewati langkah ini jika Anda membangun sistem layanan tepercaya sendiri.

      2. Pilih versi gambar yang didukung untuk keluarga instans Anda.

  4. Pada bagian Bandwidth and Security Group, pilih security group. Jika muncul kotak dialog Activate KMS, klik Activate.

    KMS harus diaktifkan. Jika tidak, pembuatan instans akan gagal.

  5. Klik Advanced Options dan konfigurasikan Instance RAM Role .

    Jika Anda memilih Trusted System, tetapkan peran RAM dengan izin layanan tepercaya. Alibaba Cloud menyediakan peran AliyunECSInstanceForYundunSysTrustRole. Ikuti langkah-langkah berikut untuk menetapkannya:

    Catatan

    Untuk peran kustom, lihat Catatan penggunaan.

    1. Klik Authorize.

      image.png

    2. Pada kotak dialog Authorize Access to Cloud Resources, klik Authorize

    3. Di jendela baru, klik Authorize.

    4. Klik Authorized.

      Authorization confirmed

    5. Pilih peran RAM AliyunECSInstanceForYundunSysTrustRole.

      image.png

      Catatan

      Anda juga dapat memberikan otorisasi setelah instans dibuat. Lihat Instance RAM role.

  6. Selesaikan konfigurasi yang tersisa dan buat instans tersebut.

API

Saat memanggil API untuk membuat instans terpercaya, perhatikan hal-hal berikut:

  • Aktifkan KMS terlebih dahulu. Jika tidak, pembuatan instans akan gagal. Lihat Aktifkan Key Management Service.

  • Jika Anda menggunakan Alibaba Cloud Trusted System, tetapkan peran RAM dengan izin layanan tepercaya agar instans dapat melaporkan informasi kepercayaan ke Security Center saat startup. Lihat Instance RAM role. Untuk peran RAM kustom, lihat Catatan penggunaan.

    Catatan

    Jika Anda membangun sistem layanan tepercaya sendiri, peran RAM ini tidak diperlukan.

Panggil RunInstances atau CreateInstance untuk membuat instans. Konfigurasikan parameter berikut.

Parameter

Description

Example

InstanceType

Tentukan tipe instans yang mendukung vTPM. Lihat Keluarga instans yang mendukung trusted computing.

ecs.c6t.large

ImageId

Tentukan ID gambar yang mendukung instans terpercaya. Panggil DescribeImages untuk menanyakan ID gambar.

aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd

SystemDisk.Category

Hanya ESSD yang didukung.

cloud_essd

VSwitchId

Hanya VPC yang didukung. Tentukan ID vSwitch.

vsw-bp134jzf285qg9u6w****

RamRoleName

Tentukan nama peran RAM. Anda juga dapat memanggil AttachInstanceRamRole untuk menetapkan peran setelah instans dibuat.

AliyunECSInstanceForYundunSysTrustRole

UserData

Tentukan skrip instalasi Alibaba Cloud Trusted System yang telah dikodekan Base64.

Untuk skrip teks biasa sebelum dikodekan Base64, lihat Skrip untuk menginstal Alibaba Cloud Trusted System.

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

SecurityOptions.TrustedSystemMode

Mode sistem tepercaya. Saat Anda memanggil RunInstances dengan InstanceType diatur ke g7t, c7t, atau r7t, atur SecurityOptions.TrustedSystemMode=vTPM. Jika tidak, abaikan parameter ini.

Catatan

Untuk membuat instans ECS sistem tepercaya menggunakan API, Anda hanya dapat memanggil RunInstances. CreateInstance tidak mendukung SecurityOptions.TrustedSystemMode.

vTPM

Contoh permintaan:

https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=IyEvYmluL3NoCkNVUlBBVEg9YHB3ZGAKU0NSSVBUX1BBVEg9Ii9kb3dubG9hZC9saW51eC9zY3JpcHQvVHJ1c3RBZ2VudEluc3RhbGwuc2giClRPS0VOPWBjdXJsIC1zIC1YIFBVVCAtSCAiWC1hbGl5dW4tZWNzLW1ldGFkYXRhLXRva2VuLXR0bC1zZWNvbmRzOiA1IiAiaHR0cDovLzEwMC4xMDAuMTAwLjIwMC9sYXRlc3QvYXBpL3Rva2VuImAKUkVHSU9OX0lEPWBjdXJsIC1zIC1IICJYLWFsaXl1bi1lY3MtbWV0YWRhdGEtdG9rZW46ICR0b2tlbiIgaHR0cDovLzEwMC4xMDAuMTAwLjIwMC9sYXRlc3QvbWV0YS1kYXRhL3JlZ2lvbi1pZGAKVVBEQVRFX1NJVEUxPWh0dHA6Ly90cnVzdGNsaWVudC0ke1JFR0lPTl9JRH0ub3NzLSR7UkVHSU9OX0lEfS1pbnRlcm5hbC5hbGl5dW5jcy5jb20KVVBEQVRFX1NJVEUyPWh0dHA6Ly90cnVzdGNsaWVudC0ke1JFR0lPTl9JRH0ub3NzLSR7UkVHSU9OX0lEfS5hbGl5dW5jcy5jb20KVVBEQVRFX1NJVEUzPWh0dHA6Ly90LXRydXN0Y2xpZW50LSR7UkVHSU9OX0lEfS5vc3MteyRSRUdJT05fSUR9LWludGVybmFsLmFsaXl1bmNzLmNvbQpNU0dfSU5GTz0iZG93bmxvYWRpbmcgaW5zdGFsbCBzY3JpcHQgZnJvbSBzaXRlIgpNU0dfRVJSPSJkb3dubG9hZCBmaWxlIGVycm9yLiIKTVNHX09LPSJ0cnVzdCBjbGllbnQgaW5pdCBkb25lLiIKCmluc3RhbGwoKQp7CmVjaG8gIiR7TVNHX0lORk99IiIgMS4uLiIKY3VybCAtZnNTTCAiJHtVUERBVEVfU0lURTF9IiIke1NDUklQVF9QQVRIfSJ8c2gKaWYgWyAkPyA9PSAwIF07IHRoZW4KcmV0dXJuIDEKZmkKZWNobyAiJHtNU0dfSU5GT30iIiAyLi4uIgpjdXJsIC1mc1NMICIke1VQREFURV9TSVRFMn0iIiR7U0NSSVBUX1BBVEh9InxzaAppZiBbICQ/ID09IDAgXTsgdGhlbgpyZXR1cm4gMgpmaQplY2hvICIke01TR19JTkZPfSIiIDMuLi4iCmN1cmwgLWZzU0wgIiR7VVBEQVRFX1NJVEUzfSIiJHtTQ1JJUFRfUEFUSH0ifHNoCmlmIFsgJD8gPT0gMCBdOyB0aGVuCnJldHVybiAzCmZpCmVjaG8gIiIgMT4mMgpleGl0IDEKfQoKaW5zdGFsbAplY2hvICIke01TR19PS30iCgpleGl0IDAK
&<Common request parameters>

Contoh tanggapan:

  • Format XML

    <RunInstancesResponse>
          <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId>
          <InstanceIdSets>
                <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet>
          </InstanceIdSets>
    </RunInstancesResponse>
  • Format JSON

    {
        "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672",
        "InstanceIdSets": {
            "InstanceIdSet": [
                "i-bp16byi4f3fti5b3****"
            ]
        }
    }

Catatan penggunaan

Buat kebijakan kustom dengan izin minimum yang diperlukan dan sambungkan ke peran RAM. Anda dapat menggunakan System Policy (AliyunSysTrustFullAccess) atau Custom Policy. Kebijakan berikut memberikan izin detail halus untuk layanan tepercaya:

Penting

Izin RAM melibatkan risiko keamanan. Ikuti prinsip hak istimewa minimal dan hindari pemberian izin berlebihan. Lihat Apa itu Resource Access Management.

{
  "Statement": [
    {
      "Action": [
        "yundun-systrust:GenerateNonce",
        "yundun-systrust:GenerateAikcert",
        "yundun-systrust:ProduceAikcert",
        "yundun-systrust:RegisterMessage",
        "yundun-systrust:PutMessage",
        "yundun-systrust:QuoteMessage"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

Custom policy

Skrip untuk menginstal Alibaba Cloud Trusted System

#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
TOKEN=`curl -s -X PUT -H "X-aliyun-ecs-metadata-token-ttl-seconds: 5" "http://100.100.100.200/latest/api/token"`
REGION_ID=`curl -s -H "X-aliyun-ecs-metadata-token: $token" http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."

install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}

install
echo "${MSG_OK}"

exit 0