All Products
Search

This Product

    Managed Security Service:Berikan akses Managed Security Service ke sumber daya cloud

    Document Center

    Managed Security Service:Berikan akses Managed Security Service ke sumber daya cloud

    Last Updated:May 30, 2026

    Sebelum menggunakan Managed Security Service, Anda harus menyelesaikan otorisasi STS dan SSO agar layanan tersebut dapat mengakses sumber daya cloud Anda untuk menjalankan operasinya. Topik ini menjelaskan cara memberikan otorisasi tersebut.

    Otorisasi STS

    Peran terkait layanan untuk Managed Security Service

    Alibaba Cloud Security Token Service (STS) adalah layanan yang mengelola izin akses sementara. Anda harus membuat peran terkait layanan AliyunServiceRoleForMssp untuk mengotorisasi Managed Security Service mengakses sumber daya cloud Anda, seperti ECS, Security Center, OSS, dan ApsaraDB RDS.

    Penting

    • Jika Anda membeli Managed Security Service dari Managed Security Service console, sistem akan meminta Anda membuat peran terkait layanan AliyunServiceRoleForMssp saat login pertama kali. Dalam hal ini, Anda dapat melewatkan langkah ini.

    • Jika kotak dialog Service Authorization tidak muncul setelah Anda login ke Managed Security Service console, berarti layanan tersebut telah diotorisasi. Untuk memastikannya, login ke RAM console dan periksa keberadaan peran AliyunServiceRoleForMssp pada halaman Identities > Roles.

    1. Login ke Managed Security Service console.

    2. Pada kotak dialog Service Authorization, klik Authorize and Activate.

    Peran terkait layanan untuk hosting keamanan ESA

    Jika Anda memerlukan Managed Security Service untuk menjalankan operasi keamanan pada Edge Security Acceleration (ESA) Anda, Anda harus membuat peran terkait layanan AliyunServiceRoleForESAMssp. Peran ini mengotorisasi Managed Security Service untuk mengakses sumber daya ESA dan SLS Anda.

    1. Login ke Managed Security Service console.

    2. Pada halaman Overview, klik Create ESA MSS ServiceLinkRole di pojok kanan atas.

    3. Pada kotak dialog Service Authorization, klik Authorize and Activate.

    Otorisasi SSO

    Anda harus membuat RAM role yang menggunakan IdP sebagai entitas tepercaya. Hal ini memungkinkan SSO berbasis peran antara IdP perusahaan Anda dan Alibaba Cloud serta memungkinkan Managed Security Service mengambil data lengkap untuk penilaian risiko dan penguatan keamanan sumber daya cloud Anda.

    Prasyarat

    Pastikan Anda memiliki sertifikat XML yang diperlukan untuk otorisasi Managed Security Service.

    Penting

    Jika Anda tidak memiliki sertifikat XML tersebut, hubungi delivery manager yang ditugaskan kepada Anda saat membeli Managed Security Service.

    Prosedur

    1. Login ke RAM console menggunakan Akun Alibaba Cloud Anda.

    2. Buat SAML IdP.

      1. Di panel navigasi sebelah kiri, pilih Integrations > SSO.

      2. Pada tab Role-based SSO, klik tab SAML, lalu klik Create IdP.

      3. Pada halaman Create IdP, masukkan IdP Name (misalnya, aliyun-mssp) dan Description.

      4. Pada bagian Metadata File, klik Upload Metadata File untuk mengunggah sertifikat XML untuk otorisasi Managed Security Service.

      5. Klik Create IdP.

    3. Buat RAM role yang menggunakan IdP yang telah Anda buat pada langkah sebelumnya (aliyun-mssp) sebagai entitas tepercaya.

      1. Di panel navigasi sebelah kiri, pilih Identities > Roles.

      2. Pada halaman Roles, klik Create Role.

      3. Di pojok kanan atas halaman Create Role, klik Switch to Policy Editor.

      4. Gunakan editor visual untuk menentukan IdP aliyun-mssp yang telah Anda buat di langkah 2.

      5. Tabel berikut mencantumkan kunci kondisi tingkat layanan yang didukung.

        Condition key

        Description

        Required

        Example

        saml:recipient

        Alibaba Cloud memverifikasi nilai ini untuk memastikan pernyataan SAML ditujukan untuk Alibaba Cloud.

        Yes

        Nilai tetap: https://signin.alibabacloud.com/saml-role/sso

      6. Klik OK. Pada kotak dialog Create Role, masukkan Role Name (misalnya, aliyun-mssp), lalu klik OK.

    4. Berikan izin kepada RAM role aliyun-mssp.

      1. Pada halaman yang muncul setelah Anda membuat RAM role, klik Grant Permission. Atau, di panel navigasi sebelah kiri, pilih Identities > Roles. Kemudian, temukan RAM role aliyun-mssp dan klik Attach Policy pada kolom Actions.

      2. Pada panel Grant Permission, tambahkan izin berikut ke RAM role aliyun-mssp. Untuk petunjuk detail, lihat Manage permissions for a RAM role.

        • ReadOnlyAccess: Mengumpulkan dan memverifikasi data konfigurasi keamanan dari produk cloud seperti ECS, OSS, ApsaraDB RDS, dan SLS.

        • AliyunYundunFullAccess: Mengumpulkan dan memverifikasi data konfigurasi keamanan dari produk keamanan cloud seperti Security Center, Cloud Firewall, dan Web Application Firewall (WAF). Izin ini juga digunakan untuk menerapkan aturan inspeksi dan melakukan respons darurat seperti memblokir ancaman.

        • AliyunSupportFullAccess: Mengelola tiket dukungan untuk pertanyaan produk.

        • AliyunCloudMonitorFullAccess: Mengonfigurasi pemantauan website di CloudMonitor.

        • AliyunECSFullAccess (Opsional): Diperlukan untuk beberapa operasi respons darurat dan maintenance pada host, seperti membuat Snapshot image, mengubah kebijakan security group, dan menerapkan Patch.

    Mencabut otorisasi layanan

    Jika Anda tidak lagi menggunakan Managed Security Service, Anda harus mencabut otorisasinya dengan terlebih dahulu mencabut izin dari RAM role, lalu menghapus peran tersebut.

    1. Cabut izin dari peran tersebut. Untuk informasi lebih lanjut, lihat Revoke permissions from a RAM role.

    2. Hapus peran tersebut. Untuk informasi lebih lanjut, lihat Delete a RAM role.