Managed Security Service を使用する前に、セキュリティトークンサービス (STS) とシングルサインオン (SSO) を介して権限を付与する必要があります。この権限付与により、Managed Security Service はクラウドリソースにアクセスして運用サービスを提供できるようになります。このトピックでは、Managed Security Service にこれらの権限を付与する方法について説明します。
STS 権限付与
Managed Security Service のサービスリンクロール
Alibaba Cloud セキュリティトークンサービス (STS) は、一時的なアクセス権限を管理するサービスです。AliyunServiceRoleForMssp サービスリンクロールを作成して、Managed Security Service に Elastic Computing Service (ECS)、セキュリティセンター、Object Storage Service (OSS)、ApsaraDB RDS などのリソースへのアクセスを許可する必要があります。このアクセスは、Managed Security Service が運用サービスを提供するために必要です。
Managed Security Service を購入し、初めて Managed Security Service コンソール にログインする場合、システムは AliyunServiceRoleForMssp サービスリンクロールを作成するように促します。この場合、このステップを実行する必要はありません。
Managed Security Service コンソールにログインした後、[サービス承認] ダイアログボックスが表示されない場合、そのサービスはすでに承認済みです。 RAM コンソールにログインし、 ページで AliyunServiceRoleForMssp ロールがあることを確認できます。
Managed Security Service コンソール にログインします。
[サービス権限付与] ダイアログボックスで、[権限付与に同意してサービスを有効化] をクリックします。
ESA セキュリティホスティングのサービスリンクロール
Managed Security Service で Edge Security Acceleration (ESA) サービスのセキュリティを管理する必要がある場合、AliyunServiceRoleForESAMssp サービスリンクロールを作成する必要があります。このロールは、Managed Security Service に ESA および Simple Log Service (SLS) リソースへのアクセスを許可します。このアクセスは、Managed Security Service が運用サービスを提供するために必要です。
Managed Security Service コンソール にログインします。
[概要] ページの右上隅にある ESA サービスリンクロールを作成 をクリックします。
[サービス権限付与] ダイアログボックスで、[権限付与に同意してサービスを有効化] をクリックします。
SSO 権限付与
ID プロバイダー (IdP) を信頼できるエンティティとして使用する RAM ロールを作成できます。これにより、企業の IdP と Alibaba Cloud の間でロールベースのシングルサインオン (SSO) が可能になります。この設定により、Managed Security Service は、クラウドリソースのリスク評価とセキュリティ強化のための完全なデータを取得できます。
前提条件
Managed Security Service の権限付与に必要な XML 証明書を持っていること。
XML 証明書をお持ちでない場合は、Managed Security Service の購入時に割り当てられたデリバリーマネージャーにお問い合わせください。
手順
Alibaba Cloud アカウントで RAM コンソール にログインします。
SAML IdP を作成します。
左側のナビゲーションウィンドウで、 を選択します。
[ロールベースの SSO] タブで、[SAML] タブをクリックし、[IdP を追加] をクリックします。
[ID プロバイダーを作成] ページで、[IdP 名] (aliyun-mssp など) と [メモ] を入力します。
[メタデータファイル] セクションで、[アップロード] をクリックして、Managed Security Service の XML 権限付与証明書をアップロードします。
[IdP を作成] をクリックします。
前のステップで作成した IdP (aliyun-mssp) を信頼できるエンティティとして使用する RAM ロールを作成します。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールを作成] をクリックします。
[ロールを作成] ページの右上隅にある [ポリシーエディターに切り替え] をクリックします。
ビジュアルエディターで、ステップ 2. SAML IdP を作成する で作成した aliyun-mssp IdP を指定します。
エディターで条件を指定します。
次の表に、サポートされているサービスレベルの条件キーを示します。
条件キー
説明
必須
例
saml:recipientSAML アサーションの受信者。Alibaba Cloud は、この条件の値に基づいて SAML アサーションの受信者をチェックします。
はい
値を
https://signin.alibabacloud.com/saml-role/ssoに設定します。[OK] をクリックします。[ロールを作成] ダイアログボックスで、[ロール名] (aliyun-mssp など) を入力し、[OK] をクリックします。
前のステップで作成した aliyun-mssp RAM ロールに権限を付与します。
ロール作成ウィザードの完了ページで、[権限を付与] をクリックします。または、左側のナビゲーションウィンドウで を選択します。次に、aliyun-mssp RAM ロールを見つけ、[アクション] 列の [権限を追加] をクリックします。
[権限を追加] パネルで、aliyun-mssp RAM ロールに次の権限を付与します。詳細については、「RAM ロールに権限を付与する」をご参照ください。
ReadOnlyAccess: ECS、OSS、RDS、SLS などのクラウドプロダクトのセキュリティ構成機能のデータを収集および検証します。
AliyunYundunFullAccess: Security Center、Cloud Firewall (CFW)、Web Application Firewall (WAF) などのクラウドセキュリティプロダクトのセキュリティ構成機能のデータを収集および検証します。この権限は、クラウドセキュリティプロダクトに検査構成ルールをデプロイし、緊急時に即時修正とブロックを実行するためにも使用されます。
AliyunSupportFullAccess: プロダクトに関する問い合わせのチケットを管理します。
AliyunCloudMonitorFullAccess: サイトモニタリング構成の CloudMonitor 権限を管理します。
AliyunECSFullAccess (オプション): イメージスナップショットの作成、セキュリティグループポリシーの変更、パッチの適用など、ホストでの一部の緊急応答およびメンテナンス操作に必要です。
サービス権限付与の取り消し
Managed Security Service を使用しなくなった場合は、ロールから権限を削除し、ロールを削除して、サービスの権限付与を取り消す必要があります。
ロールから権限を削除します。詳細については、「RAM ロールから権限を取り消す」をご参照ください。
ロールを削除します。詳細については、「RAM ロールを削除する」をご参照ください。