Security Center のマルチクラウド構成管理機能を使用して、ご利用の Baidu Cloud アカウントを接続し、その資産を統合されたクラウドセキュリティポスチャ管理 (CSPM) の下に置きます。接続すると、Security Center はすべてのクラウド環境で単一のセキュリティビューと脅威検知を提供します。
前提条件
開始する前に、以下があることを確認してください。
アクティブな Baidu Cloud アカウント
Security Center コンソールへのアクセス
ステップ 1: Baidu Cloud で IAM ユーザーを作成
Security Center 連携のために最小限の権限を持つ専用の IAM ユーザーを作成し、その AccessKey を生成します。
Baidu Cloud IAM の詳細については、Baidu Cloud 公式ドキュメントの「ユーザー管理IAM ユーザー操作」、および「ユーザー管理」をご参照ください。
Baidu Cloud IAM ユーザーコンソールにログインし、[IAM ユーザーの作成] をクリックします。
ユーザーを構成します。
ユーザー名:
aliyun-security-center-userなど、認識しやすい名前を入力します。[アクセスモード]: [プログラムによるアクセス] を選択します。
[クイック承認]: このチェックを外したままにして、過剰な権限が付与されないようにしてください。
ユーザーに権限を割り当てます。
ユーザー一覧でユーザーを見つけ、[権限の追加] を [操作] 列でクリックします。
Security Center で使用する機能の権限ポリシーを選択します。
機能 ポリシーオプション 備考 CSPM オプション 1: IAMReadAccessPolicy+GlobalReadPolicyGlobalReadPolicyは、すべての Baidu Cloud プロダクトへの読み取り専用アクセスを許可します。クイックセットアップに使用します。CSPM オプション 2: IAMReadAccessPolicy+BCCReadAccessPolicy+ プロダクトごとのポリシー詳細な権限付与に使用します。必要なプロダクトのポリシーのみを追加してください。完全なポリシーリストについては、「付録」をご参照ください。
ユーザーの AccessKey を生成します。
ユーザー名をクリックして、ユーザー詳細ページを開きます。
[AccessKey] セクションで、[Create AccessKey] をクリックします。
セキュリティ認証を完了し、ダイアログで[AccessKey をダウンロード]をクリックします。
AccessKeyID と AccessKeySecret を保存します。
警告ダイアログを閉じると、AccessKeySecret は再度取得できません。AccessKey は直ちにダウンロードして保存してください。
ステップ 2: Security Center で接続を構成
Security Center コンソールを開き、Baidu Cloud の認証情報を入力して同期を構成します。
オンボーディングパネルを開く
[クラウド外資産の追加] パネルを開くには、以下のいずれかのパスを使用します。
推奨: [システム設定] > [機能設定] に移動します。左上隅でリージョンを選択します([中国本土] または [中国本土以外])。[マルチクラウド構成管理] > [マルチクラウド資産] タブで、[権限を付与] をクリックし、[Baidu Cloud] を選択します。
代替方法:[アセット] > [クラウド製品] に移動します。[マルチクラウド サービス統合] エリアで、[追加] ボタンを
アイコンの下をクリックします。
認証情報の入力と同期の構成
「[承認するモジュールの選択]」セクションで、有効化する機能を選択し、「[次へ]」をクリックします。
現在、CSPM のみがサポートされています。
「[AccessKey ペアの送信]」ページで、手順 1 から取得した AccessKey ID および AccessKey シークレット を入力し、「[次へ]」をクリックします。Security Center が自動的に認証情報と権限を検証します。
検証が失敗した場合、IAM ユーザーの権限が不足している可能性があります。解決手順については、「よくある質問」をご参照ください。
同期ポリシーを構成します。
設定 説明 リージョン ご利用の資産が配置されている Baidu Cloud のリージョンを選択します。資産データは、コンソールで選択したリージョンに対応するデータセンターに保存されます:中国本土 の場合、中国本土内のデータセンターを使用します。中国本土以外 の場合、シンガポールのデータセンターを使用します。 リージョン管理 有効化すると、アカウントに追加された新しい Baidu Cloud リージョンの資産を自動的に含めるようになります。 クラウドサービス同期頻度 自動資産同期の間隔を設定します。無効 に設定すると、同期機能が無効化されます。 AK サービスステータス確認 セキュリティセンターが AccessKey の有効性を確認する間隔を設定します。無効 に設定すると、確認機能が無効化されます。 [資産の同期] をクリックします。Security Center は Baidu Cloud 資産の同期を開始します。
ステップ 3: 接続の確認
セキュリティセンター コンソールで、[資産] > [クラウド製品] に移動します。左側のナビゲーションウィンドウで、[Baidu Cloud] をクリックして、同期された資産を表示します。
同期の初期化には時間がかかる場合があります。資産がすぐに表示されない場合は、トラブルシューティングを行う前に同期が完了するまで待機してください。詳細については、「クラウドプロダクト情報の表示」をご参照ください。
付録: Baidu Cloud 権限ポリシー
以下のポリシーは、詳細な権限付与に利用できます。サポートされている Baidu Cloud プロダクトのリストは継続的に更新されます。最新情報についてはコンソールを確認してください。
| ポリシー名 | 権限 |
|---|---|
RedisReadAccessPolicy | Redis インスタンスへの読み取り専用アクセス |
KAFKAReadAccessPolicy | Kafka インスタンスへの読み取り専用アクセス |
MONGODBReadAccessPolicy | MongoDB インスタンスへの読み取り専用アクセス |
RDSReadAccessPolicy | RDS インスタンスへの読み取り専用アクセス |
VPCReadAccessPolicy | VPC リソースへの読み取り専用アクセス |
BOSLISTANDReadAccessPolicy | BOS バケットへの読み取りアクセス |
BLBReadAccessPolicy | BLB インスタンスへの読み取り専用アクセス |
よくある質問
Security Center で一部の Baidu Cloud 資産が表示されないのはなぜですか?
2つの点を確認してください。まず、資産が配置されている Baidu Cloud リージョンが同期ポリシーで選択されていることを確認してください。次に、最近初期設定を完了したばかりの場合、または構成を変更した場合は、同期が完了するまで待機してください。資産がすぐに表示されない場合があります。
AccessKey の入力後に認証情報の検証が失敗した場合、どうすればよいですか?
IAM ユーザーには、必要な権限が付与されていない可能性があります。Baidu Cloud コンソールに戻り、ユーザーの権限ポリシーを更新してください。CSPM の場合、ユーザーには最低限、IAMReadAccessPolicy + GlobalReadPolicy(オプション 1)、または IAMReadAccessPolicy + BCCReadAccessPolicy + プロダクトごとのポリシー(オプション 2)が必要です。詳細については、「手順 1」をご参照ください。