Gunakan peran terkait layanan untuk mendapatkan izin mengakses layanan Alibaba Cloud lainnya - Security Center

Dalam skenario tertentu, Security Center memerlukan izin untuk mengakses sumber daya layanan cloud lain agar dapat menerapkan fitur. Untuk mendapatkan izin tersebut, Security Center menggunakan peran terkait layanan. Topik ini menjelaskan peran terkait layanan untuk Security Center, termasuk definisi dan skenario penggunaannya.

Peran terkait layanan adalah Peran Manajemen Akses Sumber Daya (RAM) yang entitas tepercayanya adalah layanan Alibaba Cloud. Untuk mendapatkan izin mengakses layanan atau sumber daya cloud lain, Security Center harus menggunakan peran terkait layanan.

Dalam kebanyakan kasus, sistem secara otomatis membuat peran terkait layanan saat Anda melakukan operasi pada Security Center. Jika sistem gagal membuat peran terkait layanan atau Security Center tidak mendukung pembuatan otomatis, Anda harus membuat peran terkait layanan secara manual.

RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan. Kebijakan ini tidak dapat dimodifikasi. Untuk melihat informasi tentang kebijakan sistem dari peran terkait layanan tertentu, buka halaman detail peran terkait layanan tersebut. Untuk informasi lebih lanjut, lihat System Policy Reference.

Skenario

Tabel berikut mencantumkan peran terkait layanan yang disediakan untuk Security Center.

Peran terkait layanan	Pengenal layanan	Skenario
AliyunServiceRoleForSas	sas.aliyuncs.com	Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti Container Registry dan ApsaraDB RDS untuk mendeteksi risiko keamanan pada aset kontainer Anda. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti Virtual Private Cloud (VPC) dan Elastic Compute Service (ECS). Kemudian, Anda dapat mengaktifkan fitur honeypot cloud untuk mendapatkan kemampuan deteksi serangan dan penelusuran sumber serangan di dalam maupun di luar cloud. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti ECS. Kemudian, Anda dapat mengaktifkan fitur pertahanan terhadap serangan brute-force untuk melindungi kata sandi server Anda dari upaya peretasan. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti Simple Log Service. Kemudian, Anda dapat mengaktifkan fitur analisis log untuk mendapatkan kemampuan kueri dan analisis log. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya seperti Instance ECS dan Citra ECS. Kemudian, Anda dapat mengaktifkan fitur deteksi tanpa agen untuk berbagi Citra ECS dengan akun layanan Security Center dan melakukan pemindaian keamanan pada data dalam citra tersebut. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti Cloud Backup dan ECS. Kemudian, Anda dapat mengaktifkan fitur anti-ransomware untuk melawan ransomware dan mencadangkan data Anda. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti Resource Directory menggunakan akun manajemen direktori sumber daya atau akun administrator yang didelegasikan. Kemudian, Anda dapat mengaktifkan fitur manajemen multi-akun untuk mengelola risiko keamanan beberapa anggota secara terpusat. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya Object Storage Service (OSS). Kemudian, Anda dapat mengaktifkan fitur SDK untuk deteksi file jahat guna memeriksa objek OSS terhadap virus. Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya Key Management Service (KMS). Kemudian, Anda dapat mengaktifkan fitur SDK untuk deteksi file jahat guna mendekripsi dan memeriksa objek Object Storage Service (OSS) yang dienkripsi menggunakan SSE-KMS.
AliyunServiceRoleForSasCloudSiem	cloudsiem.sas.aliyuncs.com	Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti VPC dan Cloud Firewall. Kemudian, Anda dapat menggunakan fitur Pendeteksian dan Tanggapan Ancaman Cloud (CTDR) untuk memantau log layanan cloud yang Anda tambahkan ke fitur tersebut, mengirimkan log, dan menangani peristiwa keamanan. Fitur CTDR menyediakan kemampuan manajemen peringatan terpusat dan penelusuran sumber ancaman.
AliyunServiceRoleForSasCspm	cspm.sas.aliyuncs.com	Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya layanan cloud seperti ActionTrail. Kemudian, Anda dapat mengaktifkan fitur Manajemen Postur Keamanan Cloud (CSPM) untuk memeriksa konfigurasi layanan cloud.
AliyunServiceRoleForSasRd	rd.sas.aliyuncs.com	Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada akun administrator yang didelegasikan dari Security Center untuk masuk ke konsol Security Center sebagai anggota dalam direktori sumber daya yang terlibat saat fitur manajemen multi-akun diaktifkan. Dengan cara ini, Anda dapat mengonfigurasi pengaturan keamanan untuk beberapa anggota perusahaan secara terpusat, serta memantau status keamanan anggota tersebut secara real-time.
AliyunServiceRoleForSasSecurityLake	security-lake.sas.aliyuncs.com	Anda dapat menggunakan peran ini untuk memberikan otorisasi kepada Security Center agar dapat mengakses sumber daya OSS dan Data Lake Formation (DLF). Kemudian, Anda dapat menggunakan solusi penyimpanan data dingin dari fitur CTDR untuk mengelola data log dan melakukan kueri serta analisis interaktif pada data tersebut.

Buat peran terkait layanan

AliyunServiceRoleForSas

Kali pertama Anda menggunakan salah satu fitur berikut dan mendapatkan izin yang diperlukan, peran terkait layanan AliyunServiceRoleForSas akan dibuat secara otomatis.

Modul	Fitur
Tata kelola risiko	SDK untuk deteksi file jahat Analisis log
Keamanan kontainer	Manajemen kontainer Pemindaian citra kontainer Tanda tangan kontainer Deteksi ancaman pada kontainer Kubernetes
Keamanan host	Honeypot cloud Pertahanan terhadap serangan brute-force Deteksi tanpa agen Anti-ransomware Deteksi dan penghapusan virus Deteksi ancaman adaptif
Lainnya	Playbook Manajemen multi-akun

AliyunServiceRoleForSasCloudSiem

Kali pertama Anda menggunakan fitur CTDR dan mendapatkan izin yang diperlukan, peran terkait layanan AliyunServiceRoleForSasCloudSiem akan dibuat secara otomatis. Untuk informasi lebih lanjut, lihat Apa itu CTDR.

AliyunServiceRoleForSasCspm

Kali pertama Anda menggunakan fitur CSPM dan mendapatkan izin yang diperlukan, peran terkait layanan AliyunServiceRoleForSasCspm akan dibuat secara otomatis.

Catatan

Pada tanggal 21 November 2022 (UTC+8), kebijakan untuk fitur CSPM dipindahkan dari peran terkait layanan AliyunServiceRoleForSas ke peran terkait layanan AliyunServiceRoleForSasCspm. Untuk memastikan bahwa fitur CSPM dapat bekerja sesuai harapan, buka halaman CSPM dan klik OK pada pesan Role Policy Migration Reminder. Kemudian, klik Authorize Now untuk menyelesaikan otorisasi.

AliyunServiceRoleForSasRd

Setelah akun manajemen direktori sumber daya Anda atau akun administrator yang didelegasikan menggunakan fitur manajemen multi-akun untuk menambahkan anggota direktori sumber daya Anda ke daftar akun yang dikelola, peran terkait layanan AliyunServiceRoleForSasRd akan dibuat secara otomatis untuk anggota tersebut.

AliyunServiceRoleForSasSecurityLake

Kali pertama Anda menggunakan solusi penyimpanan data dingin dari fitur CTDR dan mendapatkan izin yang diperlukan, peran terkait layanan AliyunServiceRoleForSasSecurityLake akan dibuat secara otomatis.

Lihat informasi tentang peran terkait layanan

Setelah peran terkait layanan dibuat, Anda dapat melihat informasi tentang peran tersebut. Untuk melihat informasi tersebut, temukan peran pada halaman Peran di konsol RAM dan klik nama peran tersebut. Kemudian, Anda dapat melihat informasi berikut tentang peran tersebut di halaman detail peran:

Informasi Dasar
Di bagian Basic Information, Anda dapat melihat informasi dasar tentang peran, termasuk nama, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.
Kebijakan
Di tab Permissions, Anda dapat mengklik nama kebijakan untuk melihat isi kebijakan.
Catatan
Anda tidak dapat melihat kebijakan yang dilampirkan pada peran terkait layanan di halaman Policies di konsol RAM. Anda hanya dapat melihat kebijakan tersebut di halaman detail peran.
Kebijakan Kepercayaan
Di tab Trust Policy, Anda dapat melihat isi kebijakan kepercayaan yang dilampirkan pada peran. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya adalah entitas yang dapat menggunakan peran RAM. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Anda dapat melihat nilai bidang Service dalam kebijakan kepercayaan untuk mendapatkan entitas tepercaya.

Untuk informasi lebih lanjut tentang cara melihat peran terkait layanan, lihat Lihat Informasi tentang Peran RAM.

Hapus peran terkait layanan

Penting

Setelah peran terkait layanan dihapus, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.

Jika Anda tidak menggunakan Security Center dalam jangka waktu lama atau ingin menghapus akun Alibaba Cloud Anda, Anda mungkin perlu menghapus peran terkait layanan secara manual di konsol RAM. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.

Referensi

Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran Terkait Layanan.