すべてのプロダクト
Search
ドキュメントセンター

Managed Security Service:Managed Security Service (MSS) によるクラウド リソースへのアクセス許可

最終更新日:May 30, 2026

Managed Security Service (MSS) を使用する前に、STS 認可と SSO 認可を完了する必要があります。これにより、本サービスがクラウド リソースにアクセスして操作を実行できるようになります。このトピックでは、この認可を行う方法について説明します。

STS 認可

Managed Security Service (MSS) のサービスリンクロール

Alibaba Cloud Security Token Service (STS) は、一時的なアクセス権限を管理するサービスです。MSS が ECS、Security Center、OSS、ApsaraDB RDS などのクラウド リソースにアクセスできるようにするには、AliyunServiceRoleForMssp サービスリンクロールを作成する必要があります。

重要
  • Managed Security Service コンソールから MSS を購入した場合、初回ログオン時に、AliyunServiceRoleForMssp サービスリンクロールの作成を求めるメッセージが表示されます。この場合、この手順はスキップできます。

  • Managed Security Service コンソールにログオンした後に [サービス認可] ダイアログボックスが表示されない場合、サービスはすでに認可されています。確認するには、RAM コンソールにログオンし、Identities > Roles ページで AliyunServiceRoleForMssp ロールが存在するか確認します。

  1. Managed Security Service コンソールにログオンします。

  2. [サービス認可] ダイアログボックスで、[Authorize and Activate] をクリックします。

ESA セキュリティホスティングのサービスリンクロール

MSS で Edge Security Acceleration (ESA) のセキュリティ運用を実行する必要がある場合は、AliyunServiceRoleForESAMssp サービスリンクロールを作成する必要があります。このロールにより、MSS が ESA と SLS リソースにアクセスできるようになります。

  1. Managed Security Service コンソールにログオンします。

  2. [概要] ページの右上隅で、[Create ESA MSS ServiceLinkRole] をクリックします。

  3. [サービス認可] ダイアログボックスで、[Authorize and Activate] をクリックします。

SSO 認可

IdP を信頼できるエンティティとして使用する RAM ロールを作成する必要があります。これにより、企業の IdP と Alibaba Cloud 間でロールベースの SSO が有効になり、MSS がクラウド リソースのリスクアセスメントとセキュリティ強化に必要な完全なデータを取得できるようになります。

前提条件

MSS の認可に必要な XML 証明書があることを確認してください。

重要

XML 証明書がない場合は、MSS の購入時に割り当てられたデリバリーマネージャーにお問い合わせください。

操作手順

  1. Alibaba Cloud アカウントを使用して RAM コンソールにログオンします。

  2. SAML IdP を作成します。

    1. 左側のナビゲーションウィンドウで、Integrations > SSO を選択します。

    2. ロール SSO タブで [SAML] タブをクリックし、アイデンティティプロバイダーを作成 をクリックします。

    3. アイデンティティプロバイダーを作成 ページで、アイデンティティプロバイダー名 (例:aliyun-mssp) と 備考 を入力します。

    4. メタデータドキュメント セクションで、メタデータドキュメントをアップロード をクリックし、MSS の認可に使用する XML 証明書をアップロードします。

    5. アイデンティティプロバイダーを作成 をクリックします。

  3. 前の手順で作成した IdP (aliyun-mssp) を信頼できるエンティティとして使用する RAM ロールを作成します。

    1. 左側のナビゲーションウィンドウで、Identities > Roles を選択します。

    2. Roles ページで、ロール作成 をクリックします。

    3. ロール作成 ページの ロール作成 で、信頼できるエンティティの種類として Switch to Policy Editor を選択します。

    4. [IdP] ドロップダウンリストから、手順 2 で作成した aliyun-mssp を選択します。

    5. エディターで条件を設定します。

      次の表に、サポートされているサービス固有の条件キーを示します。

      条件キー

      説明

      必須

      saml:recipient

      SAML アサーションの受信者。Alibaba Cloud はこの値を確認して、意図した受信者であることを検証します。

      はい

      固定値:https://signin.alibabacloud.com/saml-role/sso

    6. はい をクリックします。ロール作成 ダイアログボックスで、ロール名前 (例:aliyun-mssp) を入力し、OK をクリックします。

  4. aliyun-mssp RAM ロールに権限を付与します。

    1. RAM ロールの作成後に表示されるページで、[Grant Permission] をクリックします。別の方法として、左側のナビゲーションウィンドウで Identities > Roles を選択します。次に、aliyun-mssp RAM ロールを見つけ、操作 列の 許可を与える をクリックします。

    2. 権限付与 パネルで、次の権限を aliyun-mssp RAM ロールに追加します。詳細については、「RAM ロールの権限管理」をご参照ください。

      • ReadOnlyAccess:ECS、OSS、ApsaraDB RDS、SLS などのクラウド製品からセキュリティ設定データを収集し、検証します。

      • AliyunYundunFullAccess:Security Center、Cloud Firewall、Web Application Firewall (WAF) などのクラウドセキュリティ製品からセキュリティ設定データを収集し、検証します。この権限は、検査ルールのデプロイや、脅威のブロックなどの緊急対応の実行にも使用されます。

      • AliyunSupportFullAccess:製品に関する問い合わせのサポートチケットを管理します。

      • AliyunCloudMonitorFullAccess:CloudMonitor で Web サイト監視を設定します。

      • AliyunECSFullAccess (Optional):イメージスナップショットの作成、セキュリティグループポリシーの変更、パッチの適用など、ホスト上での一部の緊急対応およびメンテナンス操作に必要です。

サービス認可の取り消し

MSS を使用しなくなった場合は、まず RAM ロールから権限を取り消し、次にロールを削除することで、認可を取り消す必要があります。

  1. ロールから権限を取り消します。詳細については、「RAM ロールからの権限の取り消し」をご参照ください。

  2. ロールを削除します。詳細については、「RAM ロールの削除」をご参照ください。