Managed Security Service (MSS) は、サービスリンクロールを使用して、クラウドリソースの管理に必要な権限を取得します。SLR は、信頼できる Alibaba Cloud サービスが偽装できる Resource Access Management (RAM) ロールの一種です。このロールにより、MSS は、Elastic Compute Service (ECS) や ApsaraDB RDS などの他のクラウドサービスのリソースにアクセスして、お客様に代わってセキュリティ評価やセキュリティ強化などの操作を実行できます。
ロールと権限
MSS は、使用する機能に基づいて、さまざまなサービスリンクロールを作成します。
AliyunServiceRoleForMssp
このロールは、MSS の基本機能を使用するために必要です。これにより、MSS は、セキュリティ評価やセキュリティ強化などのサービスのために、コアクラウドリソースにアクセスできます。
ロール名:
AliyunServiceRoleForMssp。アクセスポリシー:
AliyunServiceRolePolicyForMssp。ポリシードキュメント: 詳細については、「AliyunServiceRolePolicyForMssp」をご参照ください。
AliyunServiceRoleForESAMssp
Edge Security Acceleration (ESA) でセキュリティ操作に MSS を使用するには、この追加のサービスリンクロールが必要です。これにより、MSS は ESA および Simple Log Service (SLS) のリソースにアクセスできます。
ロール名:
AliyunServiceRoleForESAMssp。アクセスポリシー:
AliyunServiceRolePolicyForESAMssp。ポリシードキュメント: 詳細については、「AliyunServiceRolePolicyForESAMssp」をご参照ください。
AliyunServiceRolePolicyForMssp および AliyunServiceRolePolicyForESAMssp アクセスポリシーはシステムによって生成されます。これらのポリシーは変更できません。
サービスリンクロールの削除
MSS がリソースに対してセキュリティ操作を実行するには、サービスリンクロールが必要です。このため、サービスサブスクリプションがアクティブな間は、MSS に関連付けられているサービスリンクロールを削除することはできません。サブスクリプションの有効期限が切れた後、次の手順に従ってサービスリンクロールを削除できます。
ロールページに移動します。
AliyunServiceRoleForMsspまたはAliyunServiceRoleForESAMsspを検索します。[アクション] 列で、[ロールの削除] をクリックします。
参照
MSS がクラウドリソースにアクセスすることを承認する手順については、「Managed Security Service がクラウドリソースにアクセスすることを承認する」をご参照ください。
サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。