Lengkapi otorisasi STS dan SSO untuk Managed Security Service - Managed Security Service

Sebelum menggunakan Managed Security Service, Anda harus memberikan otorisasi melalui Security Token Service (STS) dan Single Sign-On (SSO). Otorisasi ini memungkinkan Managed Security Service mengakses sumber daya cloud Anda dan menyediakan layanan operasional. Topik ini menjelaskan cara memberikan izin tersebut kepada Managed Security Service.

Otorisasi STS

Peran terkait layanan untuk Managed Security Service

Alibaba Cloud Security Token Service (STS) adalah layanan yang mengelola izin akses sementara. Anda harus membuat peran terkait layanan AliyunServiceRoleForMssp agar Managed Security Service dapat mengakses sumber daya Anda, seperti Elastic Computing Service (ECS), Security Center, Object Storage Service (OSS), dan ApsaraDB RDS. Akses ini diperlukan agar Managed Security Service dapat menyediakan layanan operasional.

Penting

Jika Anda telah membeli Managed Security Service dan masuk ke Konsol Managed Security Service untuk pertama kalinya, sistem akan meminta Anda membuat peran terkait layanan AliyunServiceRoleForMssp. Dalam hal ini, Anda tidak perlu melakukan langkah ini secara manual.
Jika kotak dialog Service Authorization tidak muncul setelah Anda masuk ke Konsol Managed Security Service, berarti layanan tersebut sudah diotorisasi. Anda dapat memverifikasi hal ini dengan masuk ke Konsol RAM dan memeriksa keberadaan peran AliyunServiceRoleForMssp pada halaman Identity Management > Roles.

Masuk ke Konsol Managed Security Service.
Pada kotak dialog Service Authorization, klik Agree to Authorization and Enable Service.

Peran terkait layanan untuk hosting keamanan ESA

Jika Anda ingin Managed Security Service mengelola keamanan layanan Edge Security Acceleration (ESA) Anda, Anda harus membuat peran terkait layanan AliyunServiceRoleForESAMssp. Peran ini memberikan akses Managed Security Service ke sumber daya ESA dan Simple Log Service (SLS) Anda, yang diperlukan untuk menyediakan layanan operasional.

Masuk ke Konsol Managed Security Service.
Di pojok kanan atas halaman Overview, klik Create ESA Service-Linked Role.
Pada kotak dialog Service Authorization, klik Agree To Authorization And Enable Service.

Otorisasi SSO

Anda dapat membuat peran RAM yang menggunakan penyedia identitas (IdP) sebagai entitas tepercaya. Konfigurasi ini memungkinkan Single Sign-On (SSO) berbasis peran antara IdP perusahaan Anda dan Alibaba Cloud, sehingga Managed Security Service dapat mengambil data lengkap untuk penilaian risiko dan penguatan keamanan sumber daya cloud Anda.

Prasyarat

Anda memiliki sertifikat XML yang diperlukan untuk otorisasi Managed Security Service.

Penting

Jika Anda tidak memiliki sertifikat XML tersebut, hubungi manajer pengiriman yang ditugaskan kepada Anda saat membeli Managed Security Service.

Prosedur

Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda.
Buat SAML IdP.
1. Di panel navigasi sebelah kiri, pilih Integrations > SSO.
2. Pada tab Role-based SSO, klik tab SAML, lalu klik Add IdP.
3. Pada halaman Create Identity Provider, masukkan IdP Name (misalnya aliyun-mssp) dan Note.
4. Pada bagian Metadata File, klik Upload untuk mengunggah sertifikat otorisasi XML untuk Managed Security Service.
5. Klik Create IdP.

Buat peran RAM yang menggunakan IdP yang telah Anda buat pada langkah sebelumnya (aliyun-mssp) sebagai entitas tepercaya.

Di panel navigasi sebelah kiri, pilih Identities > Roles.
Pada halaman Roles, klik Create Role.
Di pojok kanan atas halaman Create Role, klik Switch to Policy Editor.
Di editor visual, tentukan IdP aliyun-mssp yang telah Anda buat di Langkah 2. Buat SAML IdP.

Tentukan kondisi dalam editor.

Tabel berikut mencantumkan kunci kondisi tingkat layanan yang didukung.

kunci kondisi	Deskripsi	Wajib	Contoh
`saml:recipient`	Penerima pernyataan SAML. Alibaba Cloud memeriksa penerima pernyataan SAML berdasarkan nilai kondisi ini.	Ya	Tetapkan nilainya menjadi `https://signin.alibabacloud.com/saml-role/sso`.

Klik OK. Pada kotak dialog Create Role, masukkan Role Name, misalnya aliyun-mssp, lalu klik OK.

Berikan izin kepada peran RAM aliyun-mssp yang telah Anda buat pada langkah sebelumnya.
1. Pada halaman penyelesaian wizard pembuatan peran, klik Grant Permission. Atau, di panel navigasi sebelah kiri, pilih Identity Management > Roles. Kemudian, temukan peran RAM aliyun-mssp dan klik Add Permissions pada kolom Actions.
2. Pada panel Add Permissions, berikan izin berikut kepada peran RAM aliyun-mssp. Untuk informasi selengkapnya, lihat Berikan izin kepada peran RAM.
  - ReadOnlyAccess: Mengumpulkan dan memverifikasi data untuk fitur konfigurasi keamanan produk cloud seperti ECS, OSS, RDS, dan SLS.
  - AliyunYundunFullAccess: Mengumpulkan dan memverifikasi data untuk fitur konfigurasi keamanan produk keamanan cloud seperti Security Center, Cloud Firewall (CFW), dan Web Application Firewall (WAF). Izin ini juga digunakan untuk menerapkan aturan konfigurasi inspeksi pada produk keamanan cloud serta melakukan remediasi dan pemblokiran segera saat keadaan darurat.
  - AliyunSupportFullAccess: Mengelola tiket untuk pertanyaan produk.
  - AliyunCloudMonitorFullAccess: Mengelola izin CloudMonitor untuk konfigurasi pemantauan situs web.
  - AliyunECSFullAccess (Opsional): Diperlukan untuk beberapa operasi tanggap darurat dan pemeliharaan pada host, seperti membuat snapshot citra, mengubah kebijakan grup keamanan, dan menerapkan patch.

Mencabut otorisasi layanan

Jika Anda tidak lagi menggunakan Managed Security Service, cabut otorisasi layanan dengan menghapus izin dari peran tersebut, lalu menghapus perannya.

Hapus izin dari peran tersebut. Untuk informasi selengkapnya, lihat Mencabut izin dari peran RAM.
Hapus peran tersebut. Untuk informasi selengkapnya, lihat Menghapus peran RAM.