Alibaba Cloud Security Center に Volcengine サブアカウントの AccessKey (AK) を設定することで、Volcengine ホストアセットを Alibaba Cloud のセキュリティ保護システムに自動的に同期できます。本トピックでは、AK を使用して Volcengine ホストアセットをオンボードする方法について説明します。これにより、マルチクラウド環境全体でセキュリティ管理を一元化し、マルチクラウド構成におけるセキュリティ管理の複雑さを軽減するのに役立ちます。
設定方法
本トピックで説明されている Volcengine コンソールの操作は参考用です。正確な手順については、リンク先の Volcengine ドキュメントをご参照ください。
|
設定方法 |
説明 |
サポートされている機能 |
|
Volcengine メインアカウントの AK を送信すると、Security Center が自動的にサブアカウントを作成し、プロビジョニングの権限付与を完了します。 |
[ホストアセット] |
|
|
Volcengine でサブアカウントを手動で作成して必要な権限を付与した後、Security Center でサブアカウントの AK を送信して権限付与を完了します。 |
[ホストアセット]、[Cloud Security Posture Management] |
クイック設定
ステップ 1: メインアカウントキーの作成
詳細については、「API Access Key Management」をご参照ください。
-
Volcengine コンソールにログオンし、API Access Keys ページに移動します。[AK Leak Detection] ページで [Create AccessKey] をクリックします。
-
[Create AccessKey] ダイアログボックスで [Continue] をクリックし、プロンプトに従って本人確認を完了します。
-
[Create AccessKey Successful] ダイアログボックスで [Download Credentials] をクリックします。
ダウンロードしたファイルから AccessKey ID と SecretAccessKey を保存します。
ステップ 2: メインアカウント AK の送信
-
Security Center コンソールにログオンします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上で、保護対象のアセットが存在するリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。
-
タブで、権限の新規付与 をクリックし、ドロップダウンリストから Volcano Engine を選択します。
または、 ページで、Add Multi-cloud Asset セクションの
アイコンにポインターを移動し、 Volcano Engine の下にある Add をクリックして、Add Assets Outside Cloud パネルを開きます。 -
Add Assets Outside Cloud パネルで、Quick Configuration を選択し、次へ をクリックします。
-
SubscriptionId ウィザードページで、 AccessKey ID、 SecretAccessKey、およびアカウント名を入力し、次へ をクリックします。
アカウント名は、同じクラウドプロバイダー配下の異なるアカウントのアセットを区別するために使用されます。ユースケースに基づいて、わかりやすい名前を設定することを推奨します。
ステップ 3: プロビジョニングポリシー設定の完了
-
セキュリティセンターコンソールで、Add Assets Outside Cloud パネルの Policy Configuration ウィザードで、オンボードする Volcengine 資産のリージョンとデータ同期頻度を設定し、OK をクリックします。
パラメーター
説明
[リージョン選択]
オンボード対象のアセットが存在するリージョンを選択します。Security Center は、コンソールの左上隅での選択 ([中国]または[全世界 (中国を除く)]) に基づいて、対応するデータ管理センターにアセットをプロビジョニングします。
[リージョン管理]
このオプションを選択すると、現在の Volcengine アカウント配下に新しく追加されたリージョンのアセットデータが、自動的に現在のデータ管理センターにプロビジョニングされます。
このオプションをオフにすると、新しく追加されたリージョンのアセットは Security Center にプロビジョニングされません。
[Host Asset Synchronization Frequency]
セキュリティセンターが Volcengine ホスト資産を自動同期する間隔を選択します。Close を選択すると、同期は無効になります。
[AK サービスのステータスチェック]
セキュリティセンターが Volcengine アカウントの AccessKey の有効性を自動的にチェックする間隔を選択します。Close を選択すると、チェックが無効になります。
-
最新のアセットの同期 をクリックすると、Volcengine アカウントのすべてのホストのアセットがセキュリティセンターに同期されます。
プロビジョニングポリシーを設定すると、Security Center は Volcengine コンソール内にプレフィックス AlibabaSas_ を持つユーザーを自動的に作成し、アセットのプロビジョニングを承認します。このユーザーまたはその認証情報を削除または無効にすると、Volcengine アセットのオンボーディングが中断される可能性があるため、削除または無効化しないでください。設定完了後、Volcengine IAM コンソールの [Users] ページで、自動作成された IAM ユーザー (例: AlibabaSas_202504) を確認できます。このユーザーは、ユーザーグループ AlibabaSasGroup_202504 に属しています。
ステップ 4: メインアカウントキーの削除
オンボーディング完了後、メインアカウントのセキュリティを確保するため、Volcengine コンソールからメインアカウントの AK を削除することを推奨します。詳細については、「API Access Key Management」をご参照ください。
-
Volcengine コンソールにログオンし、[API アクセスキー] ページに移動します。セキュリティセンターで登録したアクセスキーを見つけ、操作列の 無効 をクリックします。
-
Are you sure that the AccessKey pair is disabled? ダイアログボックスで OK をクリックし、画面の指示に従って本人確認を完了します。
-
AccessKey Leak Detection ページで、対象の AccessKey の操作列にある 削除 をクリックし、プロンプトに従って削除を完了します。
手動設定
ステップ 1: サブアカウントの作成と AK の取得
詳細については、「ユーザー管理」をご参照ください。
-
Volcengine コンソールにログオンし、[Users] ページに移動します。[Users] ページで [Create User] をクリックします。
-
[Create User] ページで [Create IAM User] をクリックします。
-
[Create IAM User] ページで、[User Name] を入力し、[Access Mode] を [Programmatic Access] に設定して、[Next] をクリックします。
-
アクセス ポリシーの設定: Access Policy タブで、使用する Security Center 機能に必要な権限ポリシーを選択し、[次へ] をクリックします。
機能
権限ポリシー
[ホストアセット]
IAMReadOnlyAccessECSReadOnlyAccess[Cloud Security Posture Management]
ALBReadOnlyAccessAdvDefenceReadOnlyCLBReadOnlyAccessCRReadOnlyAccessCloudFirewallReadOnlyAccessCloudIdentityReadOnlyAccessECSReadOnlyAccessHBaseReadOnlyAccessIAMReadOnlyAccessKMSReadOnlyAccessMCDNReadOnlyAccessMongoDBReadOnlyAccessNATReadOnlyAccessRDSMSSQLReadOnlyAccessRDSMySQLReadOnlyAccessRDSPGReadOnlyAccessRedisReadOnlyAccessSecCenterReadOnlyAccessTOSReadOnlyAccessVBHReadOnlyAccessVKEReadOnlyAccessVPCReadOnlyAccessVedbMysqlReadOnlyAccessVeenReadOnlyAccessWafReadOnlyAccessAgentKitReadOnlyAccessIDReadOnlyAccessArkReadOnlyAccess説明グローバル読み取り専用ポリシー
ReadOnlyAccessを設定することで、権限設定の遅延により新しく追加されたアセットやプロパティが CSPM で検出されない状況を回避することもできます。 -
ユーザー情報を確認した後、[Review and create] をクリックします。
-
[User Information] セクションで、[Download .csv file] または
アイコンをクリックして、AccessKey ID と SecretAccessKey を保存します。
ステップ 2: サブアカウント AK の送信
-
Security Center コンソールにログオンします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象アセットのリージョンとしてChinese Mainland または Outside Chinese Mainland を選択します。
-
タブで、権限の新規付与 をクリックし、ドロップダウンリストから Volcano Engine を選択します。
または、 ページで、Add Multi-cloud Asset セクションの
アイコンにポインターを移動し、 Volcano Engine の下にある Add をクリックして、Add Assets Outside Cloud パネルを開きます。 -
Add Assets Outside Cloud パネルで、手動設定プラン がデフォルトで選択されていることを確認します。Permission Description セクションで、ホストアセット を選択し、次へ をクリックします。
-
SubscriptionId ウィザードページで、サブアカウントの AccessKey ID、SecretAccessKey、アカウント名を入力し、次へ をクリックします。
アカウント名は、同じクラウドプロバイダー配下の異なるアカウントのアセットを区別するために使用されます。ユースケースに基づいて、わかりやすい名前を設定することを推奨します。
重要サブアカウントまたはその AccessKey を削除または無効にすると、オンボーディングプロセスが中断される可能性があるため、削除または無効化しないでください。
ステップ 3: プロビジョニングポリシー設定の完了
-
セキュリティセンターコンソールで、Add Assets Outside Cloud パネルの Policy Configuration ウィザードで、オンボードする Volcengine 資産のリージョンとデータ同期頻度を設定し、OK をクリックします。
パラメーター
説明
[リージョン選択]
オンボード対象のアセットが存在するリージョンを選択します。Security Center は、コンソールの左上隅での選択 ([中国]または[全世界 (中国を除く)]) に基づいて、対応するデータ管理センターにアセットをプロビジョニングします。
[リージョン管理]
このオプションを選択すると、現在の Volcengine アカウント配下に新しく追加されたリージョンのアセットデータが、自動的に現在のデータ管理センターにプロビジョニングされます。
このオプションをオフにすると、新しく追加されたリージョンのアセットは Security Center にプロビジョニングされません。
[Host Asset Synchronization Frequency]
セキュリティセンターが Volcengine ホスト資産を自動同期する間隔を選択します。Close を選択すると、同期は無効になります。
[AK サービスのステータスチェック]
セキュリティセンターが Volcengine アカウントの AccessKey の有効性を自動的にチェックする間隔を選択します。Close を選択すると、チェックが無効になります。
-
最新のアセットの同期 をクリックすると、Volcengine アカウントのすべてのホストのアセットがセキュリティセンターに同期されます。
オンボードしたアセットの管理
ホスト
ページに移動します。Add Multi-cloud Asset セクションで、
アイコンをクリックすると、オンボードされた Volcengine 資産のリストが表示されます。以下の手順に従って、高度な保護を適用し、オンボードされたホストを管理できます。
詳細については、「サーバーアセット」をご参照ください。
-
Security Center エージェントのインストール:Volcengine ホストに Security Center エージェントをインストールします。 インストールコマンドを実行する際、サービスプロバイダーを Volcengine に設定します。 詳細については、「エージェントをインストールする」をご参照ください。
-
高度な保護のための有料エディションへのアップグレード: 無料エディションは、基本的なセキュリティ検出のみを提供します。ウイルス対策、脆弱性の修復、侵入防止などの包括的なセキュリティ機能を利用するには、Volcengine ホストを Anti-virus Edition 以上のエディションにアップグレードしてください。詳細については、「ホストおよびコンテナセキュリティクォータの管理」をご参照ください。
CSPM
Security Center コンソールで、ページに移動します。 左側のAll Alibaba Cloud Services ナビゲーションウィンドウで、Volcengine をクリックして、オンボードされた資産を表示します。 オンボードされた Volcengine 資産では、次の CSPM 機能を利用できます。
詳細については、「クラウドサービス情報の表示」をご参照ください。
-
設定リスクチェックの実行: Volcengine プロダクトの設定リスクをチェックします。詳細については、「チェックポリシーの設定と実行」をご参照ください。
-
リスク項目への対処: 失敗したリスクチェック項目を確認し、修復してクラウドアセットのコンプライアンスとセキュリティを向上させます。詳細については、「失敗したチェック項目の処理」をご参照ください。