All Products
Search

This Product

    Security Center:Tambahkan aset cloud untuk pemeriksaan konfigurasi

    Document Center

    Security Center:Tambahkan aset cloud untuk pemeriksaan konfigurasi

    Last Updated:Jan 28, 2026

    Aset cloud yang salah konfigurasi—seperti bucket penyimpanan dengan akses public-read atau kerentanan keamanan yang belum dipatch—dapat menyebabkan insiden keamanan serius, seperti kebocoran data dan gangguan layanan. Cloud Security Posture Management (CSPM) menyediakan pemeriksaan keamanan otomatis untuk terus-menerus mendeteksi dan mengidentifikasi risiko konfigurasi di Alibaba Cloud, lingkungan multi-cloud, serta kluster Kubernetes (K8s) yang dikelola sendiri. CSPM juga memberikan rekomendasi remediasi guna meningkatkan keamanan dan kepatuhan seluruh aset Anda. Topik ini menjelaskan cara menambahkan aset cloud ke Security Center untuk menggunakan fitur pemeriksaan risiko konfigurasi.

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Akun Security Center dengan izin yang sesuai

    • (Untuk cloud pihak ketiga) Kredensial akses untuk platform cloud target

    • (Untuk kluster K8s) akses kubectl ke kluster

    Jenis aset yang didukung

    Security Center CSPM mendukung penambahan aset cloud dari berbagai sumber:

    Asset Type

    Sync Method

    Supported Platforms

    Layanan Alibaba Cloud

    Otomatis

    Semua layanan dalam akun Anda

    Platform cloud pihak ketiga

    Manual

    AWS, Azure, Huawei Cloud, Tencent Cloud, Volcano Engine

    Lingkungan container

    Manual

    Kluster Kubernetes yang dikelola sendiri

    Tingkatan layanan

    Security Center menyediakan dua tingkatan pemeriksaan konfigurasi:

    Feature

    Free Basic Checks

    CSPM

    Detection

    Yes

    Yes

    Validation

    Yes

    Yes

    Remediation

    No

    Yes

    All configuration risk checks

    No

    Yes

    Advanced CSPM features

    No

    Yes

    Catatan

    Deteksi dan validasi gratis. Remediasi memerlukan layanan CSPM berbayar, yang tersedia melalui langganan atau model bayar sesuai penggunaan.

    Lihat layanan cloud yang didukung

    Lihat layanan Alibaba Cloud, platform cloud pihak ketiga, dan layanan cloud masing-masing di konsol Security Center:

    1. Masuk ke Security Center console.

    2. Pada tab Cloud Service Configuration Risk, pilih Cloud Product di atas daftar item pemeriksaan.

    3. Klik Alibaba Cloud atau platform cloud pihak ketiga, seperti Tencent Cloud atau AWS, untuk melihat daftar layanan cloud yang dapat Anda tambahkan ke Security Center.

    Alibaba Cloud

    Security Center secara otomatis menyinkronkan layanan cloud dalam akun Alibaba Cloud Anda. Tidak diperlukan tindakan manual.

    Add assets from third-party cloud platforms

    Tambahkan layanan cloud pihak ketiga dari platform seperti AWS, Azure, Huawei Cloud, Tencent Cloud, dan Volcano Engine ke Security Center untuk pemindaian konfigurasi terpadu dan manajemen risiko.

    Step 1: Create access credentials

    Buat kredensial akses pada platform cloud pihak ketiga Anda dengan izin read-only. Tabel berikut merangkum kredensial yang diperlukan untuk setiap platform:

    Platform

    Credential Type

    Required Information

    AWS

    AccessKey pair

    Access Key ID, Secret Access Key

    Huawei Cloud

    AccessKey pair

    Access Key ID, Secret Access Key

    Tencent Cloud

    API key

    SecretId, SecretKey

    Azure

    Application registration

    Application (client) ID, Directory (tenant) ID, Client secret Value

    Volcano Engine

    AccessKey pair

    Access Key ID, Secret Access Key

    AWS

    1. Create an IAM user and grant permissions:

      1. Masuk ke AWS IAM console.

      2. Buat pengguna IAM baru.

      3. Lampirkan kebijakan sistem ReadOnlyAccess dan IAMReadOnlyAccess.

    2. Create and record an AccessKey pair:

      1. Hasilkan pasangan AccessKey untuk pengguna baru tersebut.

      2. Catat Access Key ID dan Secret Access Key.

    Huawei Cloud

    1. User Group:

      1. Masuk ke Huawei Cloud console.

      2. Buka halaman User Group.

      3. Buat grup pengguna baru.

      4. Lampirkan kebijakan sistem Tenant Guest dan IAM ReadOnlyAccess.

    2. Create a user and record the AccessKey pair:

      1. Buat pengguna IAM baru.

      2. Tambahkan pengguna tersebut ke grup pengguna yang dibuat pada langkah sebelumnya.

      3. Buat pasangan AccessKey untuk pengguna tersebut.

      4. Catat Access Key ID dan Secret Access Key.

    Tencent Cloud

    1. Create a sub-account and grant permissions:

      1. Masuk ke Tencent Cloud console.

      2. Buka halaman User List.

      3. Buat sub-akun baru.

      4. Berikan kebijakan sistem CloudResourceReadOnlyAccess dan QcloudCamReadOnlyAccess.

    2. Create and record an API key:

      1. Pada halaman manajemen API Key untuk sub-akun, buat API key baru.

      2. Catat SecretId dan SecretKey.

    Azure

    1. Register an application:

      1. Masuk ke Azure portal.

      2. Buka layanan App registrations.

      3. Daftarkan aplikasi baru.

      4. Catat Application (client) ID dan Directory (tenant) ID-nya.

    2. Create a client secret:

      1. Pada aplikasi baru tersebut, buka halaman Certificates & secrets.

      2. Buat client secret baru.

      3. Catat Value-nya.

    3. Assign a role:

      1. Buka layanan Subscriptions.

      2. Pilih langganan Anda.

      3. Pada halaman Access control (IAM), tetapkan peran Reader ke aplikasi baru tersebut.

    Volcano Engine

    1. Create a sub-account and grant permissions:

      1. Masuk ke Volcano Engine console.

      2. Buka halaman Users.

      3. Buat sub-akun baru.

      4. Lampirkan kebijakan sistem IAMReadOnlyAccess dan ECSReadOnlyAccess.

    2. Create and record an AccessKey pair:

      1. Saat membuat pengguna, aktifkan Programmatic access.

      2. Setelah pengguna dibuat, catat Access Key ID dan Secret Access Key.

    Step 2: Complete the integration in Security Center

    1. Masuk ke Security Center console.

    2. Pada tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission.

    3. Pada panel Multi-cloud Assets:

      1. Pilih rencana konfigurasi.

      2. Masukkan kredensial akses yang diperoleh pada langkah sebelumnya ke bidang yang sesuai.

    4. (Opsional) Konfigurasikan log audit:

      1. Untuk menggunakan fitur auditing log CSPM, konfigurasikan pengaturan yang diperlukan.

      2. Catatan

        Layanan Kafka diperlukan pada platform pihak ketiga. Saat ini, konfigurasi log audit hanya didukung untuk Tencent Cloud dan AWS.

    Add a self-managed K8s cluster

    Tambahkan kluster Kubernetes yang dikelola sendiri ke Security Center untuk pemeriksaan konfigurasi.

    Step 1: Add the cluster

    Buat akun autentikasi dan akun layanan yang diperlukan dalam kluster agar agen Security Center dapat berkomunikasi secara aman dengan kluster.

    1. Pada halaman Risk Governance > CSPM, klik Policy Management di pojok kanan atas.

    2. Pada panel Policy Management, klik tab Configure Container Cluster, lalu klik Self-built cluster access.

      Catatan

      Jika Anda menggunakan edisi Ultimate, Anda juga dapat membuka Assets > Container > Cluster dan klik Self-built cluster access.

    3. Pada panel Access Self-built K8s cluster, konfigurasikan akses K8s dan klik Generate Command.

    4. Masuk ke server kluster, buat file text-001.yaml, dan salin perintah yang dihasilkan ke dalamnya.

    5. Jalankan perintah berikut:

    # Terapkan konfigurasi akses.
kubectl apply -f text-001.yaml

    Step 2: Install the check component

    Deploy agen komponen pemeriksaan di kluster untuk menjalankan tugas pemindaian konfigurasi.

    1. Kembali ke daftar kluster pada tab Configure Container Cluster.

    2. Temukan kluster yang baru saja Anda tambahkan. Component Status untuk kluster ini adalah Not Installed.

    3. Pada kolom Actions, klik Component Access.

    4. Pada panel Scan Component Access, salin perintah yang dihasilkan.

    5. Masuk ke server tempat kluster berada dan tempel perintah tersebut ke dalam file deploy.yaml.

    6. Jalankan perintah berikut:

      # Deploy komponen pemeriksaan.
kubectl apply -f deploy.yaml

    7. (Opsional) Aktifkan webhook untuk pemeriksaan inkremental: Untuk secara otomatis memicu pemeriksaan inkremental saat resource kluster seperti pod berubah, aktifkan fitur webhook.

      Peringatan

      Fitur webhook saat ini hanya mendukung pemeriksaan inkremental untuk pod. Jika fitur webhook tidak dikonfigurasi dengan benar atau terjadi pengecualian, pembuatan resource kluster mungkin terpengaruh.

      Untuk mengaktifkan webhook:

      1. Pada panel Scan Component Access, salin perintah webhook.

      2. Masuk ke server tempat kluster berada dan tempel perintah tersebut ke dalam file webhook.yaml.

      3. Jalankan perintah berikut: 

        # Deploy komponen pemeriksaan.
kubectl apply -f webhook.yaml

    Step 3: Verify the installation

    1. Pada server kluster, jalankan perintah berikut untuk memeriksa apakah pod agen sedang berjalan:

      # Ganti <agent-namespace> dengan namespace aktual tempat agen dideploy.
kubectl get pods -n <agent-namespace>

      Ganti <agent-namespace> dengan namespace aktual tempat agen dideploy.

      Catatan

      Status yang diharapkan untuk pod terkait agen adalah Running.

    2. Di konsol Security Center, buka daftar Configure Container Cluster.

    3. Pada daftar kluster, verifikasi bahwa Component Status adalah Online. Ini menunjukkan bahwa komponen telah terinstal.

    Synchronize assets

    Sinkronkan aset untuk mendapatkan layanan cloud terbaru atau pembaruan konfigurasi.

    Automatic synchronization

    Aktifkan sinkronisasi otomatis saat menambahkan aset (misalnya, dengan mengatur opsi Cloud Service Synchronization Frequency untuk konfigurasi multi-cloud). Sistem akan secara otomatis menyinkronkan layanan cloud baru atau pembaruan konfigurasi.

    Manual synchronization

    Sinkronkan aset secara manual di konsol Security Center dengan mengklik Synchronize Assets pada tab Cloud Product atau Configure Container Cluster.

    Billing

    Asset access

    Menambahkan aset cloud ke Security Center tidak dikenai biaya.

    Cloud Service Configuration Risk

    Fitur CSPM berbayar ditagih berdasarkan konsumsi kuota. Satu kuota dikonsumsi untuk setiap operasi yang berhasil, seperti pemindaian, validasi, atau remediasi, pada instans aset.

    Rincian penagihan:

    Service Type

    Resource Types

    Exclusions

    Compute

    Instance ECS, Instance Container

    Instans yang dihentikan

    Storage

    Bucket OSS, Sistem file NAS

    Bucket kosong

    Databases

    Instance RDS, Instance Redis

    Network

    VPC, Instance SLB

    Catatan

    Untuk informasi selengkapnya, lihat harga CSPM.

    Quotas and limits

    Feature limits

    Feature

    Limit

    Log auditing

    Hanya tersedia untuk Tencent Cloud dan AWS

    K8s access limits

    Edition limits

    Service Type

    Required Edition

    Subscription service

    Edisi Ultimate atau layanan tambahan CSPM

    Pay-as-you-go service

    Ultimate atau CSPM

    Region limits

    Akses K8s tersedia di wilayah tertentu. Untuk ketersediaan wilayah terbaru, lihat Wilayah yang didukung.

    Service limits

    Batas berikut berlaku untuk CSPM:

    Limit Type

    Maximum

    Akun cloud pihak ketiga per instans Security Center

    50

    Kluster K8s per instans Security Center

    100

    Aset per akun cloud

    10.000

    Related topics