信頼情報をセキュリティセンターに報告するために必要な権限を持つトラステッドインスタンスを作成します。
トラステッドインスタンスの作成
コンソール
トラステッドインスタンスの作成手順は、以下の設定を除き、通常のインスタンスと同じです。一般的な設定については、「ウィザードを使用したインスタンスの作成」をご参照ください。
ECS コンソール - インスタンスに移動します。
-
インスタンスの作成 をクリックします。
-
[インスタンスとイメージ] セクションで、以下の項目を設定します。
-
[インスタンス]:vTPM 対応のインスタンスタイプを選択します。「トラステッドコンピューティングをサポートするインスタンスファミリー」をご参照ください。
-
[イメージ]:
-
[トラステッドシステム] を選択します。
説明[トラステッドシステム] を選択すると、Alibaba Cloud Trusted System が有効になり、起動時に信頼性の検証が実行されます。独自の信頼できるサービスシステムを構築する場合は、この手順をスキップしてください。
-
インスタンスファミリーでサポートされているイメージバージョンを選択します。
-
-
-
[帯域幅とセキュリティグループ] セクションで、セキュリティグループを選択します。 [KMS の有効化] ダイアログボックスが表示された場合は、アクティブ化 をクリックします。
Key Management Service (KMS) を有効化する必要があります。そうしない場合、インスタンスの作成は失敗します。
-
詳細オプション をクリックし、[インスタンス RAM ロール] を設定します。
トラステッドシステムを選択した場合は、信頼できるサービスの権限を持つ RAM ロールを割り当てます。Alibaba Cloud は [AliyunECSInstanceForYundunSysTrustRole] ロールを提供しています。次の手順に従って割り当てます。
説明カスタムロールについては、「注意事項」をご参照ください。
-
権限付与 をクリックします。

-
クラウドリソースへのアクセスを許可 ダイアログボックスで、権限付与 をクリックします
-
新しいウィンドウで、権限付与 をクリックします。
-
権限付与済み をクリックします。

-
[AliyunECSInstanceForYundunSysTrustRole] RAM ロールを選択します。
説明インスタンス作成後に権限を付与することもできます。「インスタンス RAM ロール」をご参照ください。
-
-
残りの設定を完了し、インスタンスを作成します。
API
API を呼び出してトラステッドインスタンスを作成する際は、次の点にご注意ください。
-
最初に KMS を有効化する必要があります。そうしない場合、インスタンスの作成は失敗します。「Key Management Service の有効化」をご参照ください。
-
Alibaba Cloud Trusted System を使用する場合、インスタンスが起動時に信頼情報をセキュリティセンターに報告できるように、信頼できるサービスの権限を持つ RAM ロールを割り当てる必要があります。「インスタンス RAM ロール」をご参照ください。カスタム RAM ロールについては、「注意事項」をご参照ください。
説明独自の信頼できるサービスシステムを構築する場合、この RAM ロールは不要です。
RunInstances API または CreateInstance API を呼び出してインスタンスを作成します。次のパラメーターを設定します。
|
パラメーター |
説明 |
例 |
|
InstanceType |
vTPM 対応のインスタンスタイプを指定します。「トラステッドコンピューティングをサポートするインスタンスファミリー」をご参照ください。 |
ecs.c6t.large |
|
ImageId |
トラステッドインスタンスでサポートされているイメージ ID を指定します。DescribeImages API を呼び出してイメージ ID を照会します。 |
aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd |
|
SystemDisk.Category |
ESSD のみがサポートされています。 |
cloud_essd |
|
VSwitchId |
VPC のみがサポートされています。vSwitch ID を指定します。 |
vsw-bp134jzf285qg9u6w**** |
|
RamRoleName |
RAM ロール名を指定します。インスタンス作成後に AttachInstanceRamRole API を呼び出してロールを割り当てることもできます。 |
AliyunECSInstanceForYundunSysTrustRole |
|
UserData |
Alibaba Cloud Trusted System の Base64 でエンコードされたインストールスクリプトを指定します。 Base64 でエンコードする前のプレーンテキストスクリプトについては、「Alibaba Cloud Trusted System のインストールスクリプト」をご参照ください。 |
|
|
SecurityOptions.TrustedSystemMode |
トラステッドシステムのモードです。RunInstances API を呼び出す際に、InstanceType を g7t、c7t、または r7t に設定した場合は、 説明
API を使用してトラステッドシステムの ECS インスタンスを作成するには、RunInstances API のみ使用できます。CreateInstance API は |
vTPM |
リクエスト例:
https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<共通リクエストパラメーター>
レスポンス例:
-
XML 形式
<RunInstancesResponse> <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId> <InstanceIdSets> <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet> </InstanceIdSets> </RunInstancesResponse> -
JSON 形式
{ "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672", "InstanceIdSets": { "InstanceIdSet": [ "i-bp16byi4f3fti5b3****" ] } }
注意事項
最小限必要な権限を持つカスタムポリシーを作成し、RAM ロールにアタッチします。[システムポリシー] ([AliyunSysTrustFullAccess]) または [カスタムポリシー] を使用できます。次のポリシーは、信頼できるサービスにきめ細かい権限を提供します:
RAM 権限にはセキュリティリスクが伴います。最小権限の原則に従い、過剰な権限の付与は避けてください。「Resource Access Management とは」をご参照ください。
{
"Statement": [
{
"Action": [
"yundun-systrust:GenerateNonce",
"yundun-systrust:GenerateAikcert",
"yundun-systrust:ProduceAikcert",
"yundun-systrust:RegisterMessage",
"yundun-systrust:PutMessage",
"yundun-systrust:QuoteMessage"
],
"Resource": "*",
"Effect": "Allow"
}
],
"Version": "1"
}
Alibaba Cloud Trusted System のインストールスクリプト
#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
TOKEN=`curl -s -X PUT -H "X-aliyun-ecs-metadata-token-ttl-seconds: 5" "http://100.100.100.200/latest/api/token"`
REGION_ID=`curl -s -H "X-aliyun-ecs-metadata-token: $TOKEN" http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."
install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}
install
echo "${MSG_OK}"
exit 0