Managed Security Service (MSS) を使用する前に、STS 認可と SSO 認可を完了する必要があります。これにより、本サービスがクラウド リソースにアクセスして操作を実行できるようになります。このトピックでは、この認可を行う方法について説明します。
STS 認可
Managed Security Service (MSS) のサービスリンクロール
Alibaba Cloud Security Token Service (STS) は、一時的なアクセス権限を管理するサービスです。MSS が ECS、Security Center、OSS、ApsaraDB RDS などのクラウド リソースにアクセスできるようにするには、AliyunServiceRoleForMssp サービスリンクロールを作成する必要があります。
Managed Security Service コンソールから MSS を購入した場合、初回ログオン時に、AliyunServiceRoleForMssp サービスリンクロールの作成を求めるメッセージが表示されます。この場合、この手順はスキップできます。
Managed Security Service コンソールにログオンした後に [サービス認可] ダイアログボックスが表示されない場合、サービスはすでに認可されています。確認するには、RAM コンソールにログオンし、 ページで AliyunServiceRoleForMssp ロールが存在するか確認します。
Managed Security Service コンソールにログオンします。
[サービス認可] ダイアログボックスで、[Authorize and Activate] をクリックします。
ESA セキュリティホスティングのサービスリンクロール
MSS で Edge Security Acceleration (ESA) のセキュリティ運用を実行する必要がある場合は、AliyunServiceRoleForESAMssp サービスリンクロールを作成する必要があります。このロールにより、MSS が ESA と SLS リソースにアクセスできるようになります。
Managed Security Service コンソールにログオンします。
[概要] ページの右上隅で、[Create ESA MSS ServiceLinkRole] をクリックします。
[サービス認可] ダイアログボックスで、[Authorize and Activate] をクリックします。
SSO 認可
IdP を信頼できるエンティティとして使用する RAM ロールを作成する必要があります。これにより、企業の IdP と Alibaba Cloud 間でロールベースの SSO が有効になり、MSS がクラウド リソースのリスクアセスメントとセキュリティ強化に必要な完全なデータを取得できるようになります。
前提条件
MSS の認可に必要な XML 証明書があることを確認してください。
XML 証明書がない場合は、MSS の購入時に割り当てられたデリバリーマネージャーにお問い合わせください。
操作手順
Alibaba Cloud アカウントを使用して RAM コンソールにログオンします。
SAML IdP を作成します。
左側のナビゲーションウィンドウで、 を選択します。
ロール SSO タブで [SAML] タブをクリックし、アイデンティティプロバイダーを作成 をクリックします。
アイデンティティプロバイダーを作成 ページで、アイデンティティプロバイダー名 (例:
aliyun-mssp) と 備考 を入力します。メタデータドキュメント セクションで、メタデータドキュメントをアップロード をクリックし、MSS の認可に使用する XML 証明書をアップロードします。
アイデンティティプロバイダーを作成 をクリックします。
前の手順で作成した IdP (
aliyun-mssp) を信頼できるエンティティとして使用する RAM ロールを作成します。左側のナビゲーションウィンドウで、 を選択します。
Roles ページで、ロール作成 をクリックします。
ロール作成 ページの ロール作成 で、信頼できるエンティティの種類として Switch to Policy Editor を選択します。
[IdP] ドロップダウンリストから、手順 2 で作成した
aliyun-msspを選択します。エディターで条件を設定します。
次の表に、サポートされているサービス固有の条件キーを示します。
条件キー
説明
必須
例
saml:recipientSAML アサーションの受信者。Alibaba Cloud はこの値を確認して、意図した受信者であることを検証します。
はい
固定値:
https://signin.alibabacloud.com/saml-role/ssoはい をクリックします。ロール作成 ダイアログボックスで、ロール名前 (例:
aliyun-mssp) を入力し、OK をクリックします。
aliyun-msspRAM ロールに権限を付与します。RAM ロールの作成後に表示されるページで、[Grant Permission] をクリックします。別の方法として、左側のナビゲーションウィンドウで を選択します。次に、
aliyun-msspRAM ロールを見つけ、操作 列の 許可を与える をクリックします。権限付与 パネルで、次の権限を
aliyun-msspRAM ロールに追加します。詳細については、「RAM ロールの権限管理」をご参照ください。ReadOnlyAccess:ECS、OSS、ApsaraDB RDS、SLS などのクラウド製品からセキュリティ設定データを収集し、検証します。
AliyunYundunFullAccess:Security Center、Cloud Firewall、Web Application Firewall (WAF) などのクラウドセキュリティ製品からセキュリティ設定データを収集し、検証します。この権限は、検査ルールのデプロイや、脅威のブロックなどの緊急対応の実行にも使用されます。
AliyunSupportFullAccess:製品に関する問い合わせのサポートチケットを管理します。
AliyunCloudMonitorFullAccess:CloudMonitor で Web サイト監視を設定します。
AliyunECSFullAccess (Optional):イメージスナップショットの作成、セキュリティグループポリシーの変更、パッチの適用など、ホスト上での一部の緊急対応およびメンテナンス操作に必要です。
サービス認可の取り消し
MSS を使用しなくなった場合は、まず RAM ロールから権限を取り消し、次にロールを削除することで、認可を取り消す必要があります。
ロールから権限を取り消します。詳細については、「RAM ロールからの権限の取り消し」をご参照ください。
ロールを削除します。詳細については、「RAM ロールの削除」をご参照ください。