Data Security Center (DSC) を使用して Alibaba Cloud リソースのデータセキュリティを確認する前に、DSC が Alibaba Cloud リソースにアクセスすることを承認する必要があります。このトピックでは、DSC が Alibaba Cloud リソースにアクセスすることを承認する方法について説明します。
前提条件
DSC の無料版が有効化されているか、DSC の有料版が購入されていること。 詳細については、「DSC の無料版を有効化する」または「DSC を購入する」をご参照ください。
背景情報
DSC を有効化した後に DSC コンソールに初めてログインすると、概要ページで DSC が Alibaba Cloud リソースにアクセスすることを承認するように求められます。承認が完了すると、DSC は Object Storage Service (OSS)、ApsaraDB RDS、MaxCompute などの Alibaba Cloud リソースにアクセスできます。 DSC は機密データについて Alibaba Cloud リソースをスキャンし、検出された機密データを分析することもできます。
手順
- DSC コンソール にログインします。
[RAM ベースの承認] ダイアログボックスで、[承認] をクリックします。
その後、Alibaba Cloud は DSC 用の AliyunServiceRoleForSDDP サービスロールを自動的に作成します。Resource Access Management (RAM) コンソール の [ロール] ページで、サービスロールを表示できます。また、OpenAPI Explorer または CLI を使用して ListRoles オペレーションを呼び出し、応答で DSC のサービスロールを表示することもできます。詳細については、「サービスロール」をご参照ください。
DSC が Alibaba Cloud リソースにアクセスすることを承認した後、DSC がリソース内の特定のデータ資産にアクセスすることを承認する必要があります。これにより、DSC は機密データについて Alibaba Cloud リソースをスキャンし、検出された機密データを分析できます。詳細については、「資産の承認」をご参照ください。
DSC のサービスロール
ロール名:
AliyunServiceRoleForSDDPロールにアタッチされているポリシー:
AliyunServiceRolePolicyForSDDPポリシーの説明: DSC は DSC が Alibaba Cloud リソースにアクセスするためにロールを偽装します。
ポリシーの内容:
ポリシーの内容の詳細については、「AliyunServiceRolePolicyForSDDP」をご参照ください。
ポリシー要素の詳細については、「ポリシーの基本要素」をご参照ください。
サービスロールを削除する
DSC を使用しなくなった場合は、DSC のサービスロールを削除できます。RAM コンソール にログインし、AliyunServiceRoleForSDDP サービスロールを削除できます。詳細については、「サービスロール」をご参照ください。
資産の承認の説明
DSC が Alibaba Cloud リソースにアクセスすることを承認する操作と、DSC がデータ資産にアクセスすることを承認する操作を混同しないでください。前者の操作では、DSC が他の Alibaba Cloud サービスにアクセスすることを承認します。後者の操作では、DSC が Alibaba Cloud サービス内の特定のデータ資産にアクセスすることを承認します。DSC が Alibaba Cloud リソースにアクセスすることを承認した後、DSC がリソース内のデータ資産にアクセスすることを承認する必要があります。これにより、DSC は機密データについて Alibaba Cloud リソースをスキャンし、検出された機密データを分析できます。詳細については、「資産の承認」をご参照ください。