Hubungkan aset Volcengine untuk keamanan multicloud terpusat - Security Center

Konfigurasikan AccessKey (AK) sub-akun Volcengine di Alibaba Cloud Security Center untuk secara otomatis menyinkronkan aset host Volcengine Anda ke dalam sistem perlindungan keamanan Alibaba Cloud. Topik ini menjelaskan cara melakukan onboarding aset host Volcengine menggunakan AccessKey guna memungkinkan pengelolaan keamanan terpusat di lingkungan multi-cloud dan mengurangi kompleksitas operasi keamanan multi-cloud.

Opsi konfigurasi

Penting

Semua langkah di konsol Volcengine dalam topik ini hanya bersifat referensi. Untuk instruksi yang tepat, lihat dokumentasi Volcengine yang ditautkan di bawah.

Opsi konfigurasi	Deskripsi	Fitur yang didukung
Konfigurasi cepat	Kirimkan AK akun utama Volcengine Anda. Security Center akan secara otomatis membuat sub-akun dan menyelesaikan otorisasi provisioning.	Host
Konfigurasi manual	Buat sub-akun di Volcengine dan berikan izin yang diperlukan. Kemudian kirimkan AK sub-akun tersebut di Security Center untuk menyelesaikan otorisasi.	Host, CSPM (CSPM)

Konfigurasi cepat

1. Buat kunci akun utama

Untuk informasi lebih lanjut, lihat API Access Key Management.

Login ke konsol Volcengine dan buka halaman API Access Keys. Di halaman AK Leak Detection, klik Create Key.
Pada kotak dialog Create Key, klik Continue dan selesaikan autentikasi identitas sesuai petunjuk.
Pada kotak dialog Key Created Successfully, klik Download Credentials.
Simpan AccessKeyId dan SecretAccessKey dari file yang diunduh.

2. Kirim AK akun utama

Login ke Security Center console.
Di panel navigasi sebelah kiri, pilih System Settings > Feature Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission, lalu pilih Volcano Engine dari daftar drop-down.
Atau, pada halaman Assets > Host, arahkan kursor ke ikon di area Add Multi-cloud Asset, lalu klik Volcano Engine di bawah Add untuk membuka panel Add Assets Outside Cloud.
Di panel Add Assets Outside Cloud, pilih Quick Configuration dan klik Next.
Di halaman wizard Submit AccessKey Pair, masukkan AccessKeyId, SecretAccessKey, dan nama akun yang telah Anda peroleh, lalu klik Next.
Gunakan nama akun yang deskriptif untuk membedakan aset dari akun berbeda pada vendor cloud yang sama.

3. Selesaikan konfigurasi kebijakan provisioning

Di panel Add Assets Outside Cloud di konsol Security Center, konfigurasikan wilayah, frekuensi sinkronisasi data, dan pengaturan lainnya untuk aset Volcengine yang akan diprovisioning di wizard Policy Configuration, lalu klik OK.

Parameter	Description
Select region	Pilih Wilayah tempat aset yang akan di-provision berada. Security Center melakukan provisioning data aset dari akun saat ini ke pusat manajemen data yang sesuai berdasarkan pusat yang Anda pilih di pojok kiri atas Konsol (China atau Outside China).
Region Management	Jika Anda memilih opsi ini, ketika Wilayah baru ditambahkan ke akun Volcengine saat ini, Security Center secara otomatis melakukan provisioning data aset dari Wilayah baru tersebut ke pusat manajemen data saat ini. Jika Anda tidak memilih opsi ini, aset di Wilayah baru tidak akan di-provision ke Security Center.
Host Asset Synchronization Frequency	Pilih interval waktu Security Center secara otomatis menyinkronkan aset host Volcengine. Pilih Close untuk menonaktifkan sinkronisasi.
AK Service Status Check	Pilih interval waktu Security Center secara otomatis memeriksa validitas AccessKey akun Volcengine. Pilih Close untuk menonaktifkan pemeriksaan.

Klik Synchronize Assets untuk menyinkronkan semua aset host dari akun Volcengine ke Security Center.

Setelah Anda mengonfigurasi kebijakan provisioning, Security Center akan secara otomatis membuat pengguna dengan awalan AlibabaSas_ di konsol Volcengine untuk mengotorisasi provisioning aset. Jangan menghapus atau menonaktifkan pengguna ini atau kuncinya karena dapat mengganggu provisioning aset Volcengine.

4. Hapus kunci akun utama

Setelah provisioning selesai, hapus AccessKey akun utama dari konsol Volcengine untuk mengamankan akun utama Anda. Untuk informasi lebih lanjut, lihat API Access Key Management.

Login ke konsol Volcengine dan buka halaman API Access Keys. Untuk AccessKey yang telah dikirimkan di Security Center, klik Disable di kolom Actions.
Di kotak dialog Are you sure that the AccessKey pair is disabled?, klik OK. Selesaikan autentikasi identitas sesuai petunjuk.
Di halaman AccessKey Leak Detection, klik Delete untuk AccessKey yang dituju dan ikuti petunjuk untuk menyelesaikan penghapusan.

Konfigurasi manual

1. Buat sub-akun dan dapatkan AK

Untuk informasi lebih lanjut, lihat User Management.

Login ke konsol Volcengine dan buka halaman Users. Di halaman Users, klik Add.
Di halaman Create User, klik Create by Username.
Di halaman Create by Username, masukkan Username. Atur Access method ke Programmatic Access dan klik Next.

Konfigurasikan kebijakan provisioning: Di tab Access Policy, pilih kebijakan izin yang diperlukan berdasarkan fitur Security Center yang akan Anda gunakan, lalu klik Next.

Fitur

Kebijakan izin

Host

IAMReadOnlyAccess
ECSReadOnlyAccess

CSPM

ALBReadOnlyAccess

AdvDefenceReadOnly

CLBReadOnlyAccess

CRReadOnlyAccess

CloudFirewallReadOnlyAccess

CloudIdentityReadOnlyAccess

ECSReadOnlyAccess

HBaseReadOnlyAccess

IAMReadOnlyAccess

KMSReadOnlyAccess

MCDNReadOnlyAccess

MongoDBReadOnlyAccess

NATReadOnlyAccess

RDSMSSQLReadOnlyAccess

RDSMySQLReadOnlyAccess

RDSPGReadOnlyAccess

RedisReadOnlyAccess

SecCenterReadOnlyAccess

TOSReadOnlyAccess

VBHReadOnlyAccess

VKEReadOnlyAccess

VPCReadOnlyAccess

VedbMysqlReadOnlyAccess

VeenReadOnlyAccess

WafReadOnlyAccess

AgentKitReadOnlyAccess

IDReadOnlyAccess

ArkReadOnlyAccess

Catatan

Anda juga dapat menetapkan kebijakan read-only global ReadOnlyAccess untuk memastikan CSPM dapat mendeteksi aset dan properti baru tanpa perlu pembaruan izin manual.

Setelah mengonfirmasi informasi pengguna, klik Bind Account and Go to Bind Data Source.
Di bagian User Information, klik Save and Download CSV atau ikon untuk menyimpan Access Key ID dan Secret Access Key.

2. Kirim AK sub-akun

Login ke Security Center console.
Di panel navigasi kiri, pilih System Settings > Feature Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission, lalu pilih Volcano Engine dari daftar drop-down.
Atau, pada halaman Assets > Host, arahkan kursor ke ikon di area Add Multi-cloud Asset, lalu klik Volcano Engine di bawah Add untuk membuka panel Add Assets Outside Cloud.
Di panel Add Assets Outside Cloud, pastikan Manual Configuration tetap dipilih. Di bagian Permission Description, pilih Host dan klik Next.
Di halaman wizard Submit AccessKey Pair, masukkan AccessKeyId, SecretAccessKey, dan nama akun sub-akun yang telah Anda peroleh, lalu klik Next.
Gunakan nama akun yang deskriptif untuk membedakan aset dari akun berbeda pada vendor cloud yang sama.
Penting
Jangan menghapus atau menonaktifkan sub-akun atau AccessKey-nya karena dapat mengganggu provisioning.

3. Selesaikan konfigurasi kebijakan provisioning

Parameter	Deskripsi
Select region	Pilih wilayah tempat aset yang akan diprovisioning berada. Security Center akan memprovisioning data aset dari akun saat ini ke pusat manajemen data yang sesuai berdasarkan pusat yang Anda pilih di pojok kiri atas konsol (China atau Outside China).
Region Management	Jika Anda memilih opsi ini, ketika wilayah baru ditambahkan ke akun Volcengine saat ini, Security Center akan secara otomatis memprovisioning data aset dari wilayah baru tersebut ke pusat manajemen data saat ini. Jika Anda tidak memilih opsi ini, aset di wilayah baru tidak akan diprovisioning ke Security Center.
Host Asset Synchronization Frequency	Pilih interval sinkronisasi otomatis aset host Volcengine oleh Security Center. Pilih Close untuk menonaktifkan sinkronisasi.
AK Service Status Check	Pilih interval pemeriksaan otomatis validitas AccessKey akun Volcengine oleh Security Center. Pilih Close untuk menonaktifkan pemeriksaan.

Klik Synchronize Assets untuk menyinkronkan semua aset host dari akun Volcengine ke Security Center.

Kelola aset yang telah diprovisioning

Aset host

Buka halaman Assets > Host. Di area Add Multi-cloud Asset, klik ikon untuk melihat daftar aset Volcengine yang telah diprovisioning. Ikuti langkah-langkah berikut untuk menerapkan perlindungan dan manajemen lanjutan pada host yang telah diprovisioning.

Catatan

Untuk informasi lebih lanjut, lihat Host assets.

Instal client: Instal client Security Center pada host AWS Anda. Saat mengeksekusi perintah instalasi, atur Service Provider ke AWS. Untuk informasi lebih lanjut, lihat Install the client.
Tingkatkan untuk perlindungan lanjutan: Edisi Gratis (Free Edition) secara default hanya menyediakan pemeriksaan keamanan dasar. Untuk mendapatkan perlindungan keamanan komprehensif (seperti anti-virus, remediasi kerentanan, dan pencegahan intrusi), Anda harus menyambungkan edisi berbayar (Edisi Anti-virus atau edisi yang lebih tinggi) ke host AWS Anda. Untuk informasi lebih lanjut, lihat Manage Authorizations for Hosts and Containers.

Manajemen Postur Keamanan Cloud (CSPM)

Di konsol Security Center, buka Assets > Cloud Product. Di panel navigasi kiri All Alibaba Cloud Services, klik AWS untuk melihat aset AWS yang telah terhubung. Fitur Manajemen Postur Keamanan Cloud (CSPM) berikut tersedia untuk aset AWS yang terhubung:

Catatan

Untuk informasi lebih lanjut, lihat View cloud product information.

Jalankan pemeriksaan risiko konfigurasi: Identifikasi risiko konfigurasi pada produk AWS. Untuk informasi lebih lanjut, lihat Set and execute cloud platform configuration risk check policies.
Atasi item risiko: Tinjau dan perbaiki pemeriksaan risiko yang gagal untuk meningkatkan kepatuhan dan keamanan aset cloud Anda. Untuk informasi lebih lanjut, lihat View and address failed cloud platform configuration risk checks.