特定の Alibaba Cloud サービスは、アカウントを作成し、資産に対する権限をアカウントに付与するための API 操作を提供します。Data Security Center (DSC) は、便利かつ効率的に資産を特定するのに役立つ資産検出機能を提供し、セキュリティトークンサービス (STS) トークンを使用して DSC からクラウドサービスへの一方向の読み取り専用アクセスを確立するためのクラウドサービスの呼び出し操作をサポートしています。このようにして、DSC は、データベース、テーブル、バケットなどの資産内の機密データを識別し、データセキュリティを確保できます。
ワンクリック接続の説明
サポートされている資産タイプ: ApsaraDB RDS、PolarDB、PolarDB for Xscale (PolarDB-X)、PolarDB-X 2.0、ApsaraDB for Redis、Object Storage Service (OSS)、Tablestore、および MaxCompute。
アカウントの説明: [承認管理] タブで資産の [接続] をクリックすると、DSC は資産に読み取り専用アカウントを追加し、その読み取り専用アカウントを使用して資産に接続してデータ識別タスクを実行します。
セキュリティコンプライアンスの説明
次の図は、資産承認の完全なライフサイクルを示しています。ワンクリック接続を実装するには、サービスロールを作成し、必要な権限をサービスロールに付与する必要があります。Alibaba Cloud は、付与された権限に基づいてアカウントを作成し、資産を識別します。DSC の有効期限が切れると、Alibaba Cloud はアカウントを削除し、データを取得または保持しません。
DSC を使用して、資産をスキャンおよび識別できます。これにより、資産のリアルタイムのセキュリティステータスを取得できます。
DSC のサービスロールを作成し、必要な権限をサービスロールに付与する
DSC を使用する前に、DSC が Alibaba Cloud リソースにアクセスできるように承認する必要があります。DSC を購入したら、DSC 用に作成された AliyunServiceRoleForSDDP という名前のサービスロールに必要な権限を付与する必要があります。詳細については、「DSC が Alibaba Cloud リソースにアクセスすることを承認する」をご参照ください。
資産の識別
DSC を購入し、承認を完了すると、AliyunServiceRolePolicyForSDDP ポリシーがサービスロール AliyunServiceRoleForSDDP にアタッチされます。これにより、DSC は操作を呼び出すことができます。DSC は毎日操作を呼び出して、アカウント内のクラウド資産を検出します。
次の操作を実行することで、データ識別タスクを手動でトリガーできます: DSC コンソール に移動し、[アセットセンター] をクリックします。[承認管理] タブで、[資産承認管理] をクリックします。[資産承認管理] パネルで、[資産の同期] をクリックします。データ識別タスクで資産タイプを指定できます。
アカウントを作成し、必要な権限を付与する
[承認管理] タブで資産の 接続するDSC をクリックすると、 は必要なクラウドサービスの操作を呼び出して、読み取り専用アカウントを作成し、資産に対する読み取り専用権限を読み取り専用アカウントに付与します。
IP アドレス ホワイトリストの設定
DSC を資産に接続すると、DSC は ali_sddp_group という名前のホワイトリストを資産に追加します。これにより、DSC は資産に関するデータベース情報を取得できます。ホワイトリストには、DSC が使用する IP アドレスが記録されます。IP アドレスはリージョンによって異なります。
逆アクセス承認の実行
DSC の識別エンジンは VPC 内にあり、DSC の管理サーバーはクラシックネットワーク内にあり、必要な資産が属するインスタンスは販売リージョン内にあります。資産の識別と承認を実行するときに、DSC は逆アクセス機能を使用します。これにより、DSC の管理サーバーと識別エンジンは、販売リージョン内のインスタンスへの一方向アクセスを確立できます。
接続性チェックの実行
DSC が資産にアクセスすることを承認すると、資産の接続ステータスは [接続テスト中] になります。DSC の管理サーバーは、30 秒ごとに資産へのネットワーク接続をチェックし、読み取り専用アカウントを使用して資産にログインできるかどうかを確認します。OSS 資産の場合、資産が存在するかどうか、または宛先バケットが存在するかどうかを確認する必要もあります。資産にログインできる場合は、接続ステータスが 接続済み に変わります。資産にログインできない場合、接続性チェックは失敗します。接続性チェックが 10 回連続して失敗すると、接続ステータスは [接続失敗] に変わります。
アカウントの削除
DSC は、DSC の有効期限が切れてから 15 日後に、ワンクリック接続の実行時に生成された読み取り専用アカウントを削除します。
関連情報
DSC の購入方法の詳細については、「DSC の購入」をご参照ください。
Resource Access Management (RAM) ユーザーが DSC にアクセスまたは管理するには、RAM ユーザーに必要な権限を付与する必要があります。詳細については、「RAM ユーザーに DSC へのアクセスを承認する」をご参照ください。
DSC が資産にアクセスすることを承認し、DSC を資産に接続して資産をスキャンする方法の詳細については、「DSC がデータベースにアクセスすることを承認する」、「DSC が OSS および Simple Log Service 内の非構造化データにアクセスすることを承認する」、および「DSC が MaxCompute にアクセスすることを承認する」をご参照ください。