Alibaba Cloud Security Center で Huawei Cloud アカウントのアクセスキー (AK) を設定することで、Security Center は Huawei Cloud API にアクセスしてアセット情報を取得し、ホストやクラウドプロダクトなどの Huawei Cloud リソースをセキュリティ保護システムにオンボードできます。このトピックでは、Huawei Cloud アカウントの AK を提供して Huawei Cloud アセットをオンボードする方法について説明します。これにより、クラウド横断アセットの一元的なセキュリティ管理を実現し、マルチクラウド環境の管理の複雑さを軽減できます。
設定オプションとサポートされる機能
|
設定オプション |
説明 |
サポートされる機能 |
|
Huawei Cloud サブアカウントを手動で作成し、権限を付与してから、Security Center でサブアカウントの AK を送信してオンボードを完了します。 |
|
|
|
Huawei Cloud プライマリアカウントの AK を送信すると、Security Center が自動的に Huawei Cloud サブアカウントを作成し、オンボードを完了します。 |
ホストアセット |
このトピックの Huawei Cloud コンソールの画面は参考用です。具体的な手順については、以下に記載されている Huawei Cloud ドキュメントのリンクをご参照ください。
手動設定
1. ユーザーグループの作成と権限の付与
詳細については、「ユーザーグループの作成と権限の付与」をご参照ください。
-
Huawei Cloud コンソールにログインし、ユーザーグループ ページに移動します。[ユーザーグループ] ページの右上隅にある [Create User Group] をクリックします。
-
[Create User Group] ページで、ユーザーグループ名と説明を入力し、[OK] をクリックします。
-
[ユーザーグループ] ページで、新しく作成したユーザーグループの [Actions] 列にある [Authorize] をクリックします。
-
使用する機能に基づいて対応する権限を付与して、[Next] をクリックします。
-
ホストアセット:
-
[ECS ReadOnlyAccess]:Elastic Cloud Server の読み取り専用権限。
-
[IAM ReadOnlyAccess]:Identity and Access Management (IAM) の読み取り専用権限。
-
-
Cloud Security Posture Management (CSPM):
-
[Tenant Guest]:すべてのクラウドサービスの読み取り専用権限 (IAM 権限を除く)。
-
[IAM ReadOnlyAccess]:Identity and Access Management (IAM) の読み取り専用権限。
-
-
Agentic SOC:[Create Policy] をクリックして、siemBasePolicy と siemNormalPolicy という名前の 2 つのカスタムポリシーを作成します。次に、これらのポリシーを現在のユーザーグループに付与します。詳細については、「カスタムポリシーの作成」をご参照ください。
説明Huawei Cloud でカスタムポリシーを作成するには、承認時に最小権限でのスコープ設定を容易にするため、グローバルレベルとプロジェクトレベルの両方のポリシーを作成する必要があります。
-
-
-
[Select Authorization Scope Plan] セクションで、[All Resources] を選択し、[OK] をクリックします。
2. IAM ユーザーの作成と AK の取得
詳細については、「IAM ユーザーの作成」をご参照ください。
-
Huawei Cloud コンソールで、ユーザー ページに移動します。[ユーザー] ページの右上隅にある [Create User] をクリックします。
-
[Create User] ページで、ユーザー名を入力し、[Access Mode] で [Programmatic Access] を選択して、[Next] をクリックします。
ユーザー名を
AccessToAliSASに設定し、認証情報タイプに[アクセスキー]を選択します。 -
[Add to User Group (Optional)] ウィザードページで、前の手順で作成したユーザーグループを選択し、[Create User] をクリックします。
-
[Download Access Key] ダイアログボックスで、[OK] をクリックします。
[credentials] ファイルから Access Key Id と Secret Access Key を保存します。
3. 権限の説明とサブアカウント AK の送信
-
Security Center コンソールにログインします。
-
ナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
-
タブで、権限の新規付与 をクリックし、ドロップダウンリストから Huawei Cloud を選択します。
次のいずれかのエントリポイントから Add Assets Outside Cloud パネルを開くこともできます:
-
ページで、Add Multi-cloud Asset エリアの
アイコンにポインターを合わせ、Add の下の Huawei Cloud をクリックします。 -
ページの 設定のチェック タブで、Multi-cloud Service Integration エリアの
アイコンにポインターを合わせ、[Huawei Cloud] の下にある [追加] をクリックします。 -
ページで、Multi-cloud Service Access エリアの
アイコンにポインターを合わせ、Grant Permission の下の Huawei Cloud をクリックします。
-
-
Add Assets Outside Cloud パネルで、デフォルトの 手動設定プラン を選択したままにします。必要な Security Center 機能に基づいて、Permission Description で対応する機能を選択し、次へ をクリックします。
-
ホストアセット:Security Center で Huawei Cloud ホストアセットを自動的に同期する場合は、このオプションを選択します。このオプションを選択した後、以降の手順でオンボードに使用するサブアカウントに [クラウドサーバーの読み取り権限] を付与する必要があります。
-
設定アセスメント:Cloud Security Posture Management を使用して Huawei Cloud プロダクト設定をスキャンし、クラウドプロダクト設定リスクを管理する場合は、このオプションを選択します。
-
脅威の分析と応答:Agentic SOC を使用して、悪意のある IP のブロックなどの対応アクションで Huawei Cloud アセットと連携する場合は、このオプションを選択します。
-
-
SubscriptionId ウィザードページで、取得したサブアカウントの AK と SK を入力し、次へ をクリックします。
アカウント名は、同じクラウドプロバイダーの異なるアカウントを区別するために使用されます。用途に応じて、わかりやすい名前を設定することを推奨します。
重要サブアカウントまたはその AK を削除または無効にしないでください。オンボードに影響を与える可能性があります。
4. オンボードポリシー設定の完了
-
Security Center コンソールの Add Assets Outside Cloud パネルで、Policy Configuration ウィザードでオンボードする Huawei Cloud アセットのリージョン、データ同期頻度、およびその他のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
[リージョン選択]
オンボードするアセットが属するリージョンを選択します。Security Center は、コンソールの左上隅で選択したデータセンター (中国 または 全世界 (中国を除く)) に基づいて、このアカウントのアセットデータを対応するデータセンターにオンボードします。
[リージョン管理]
このオプションを選択すると、この Huawei Cloud アカウントに新しいリージョンが追加された場合、Security Center は新しいリージョンのアセットデータを現在のデータセンターに自動的にオンボードします。
このオプションを選択しない場合、新しいリージョンのアセットは Security Center にオンボードされません。
[Host Asset Synchronization Frequency]
Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を選択します。[Disable] を選択すると、同期がオフになります。
説明「権限の説明」で ホストアセット を選択した場合、このパラメーターを設定する必要があります。
[クラウドプロダクトの同期頻度]
Security Center が Huawei Cloud クラウドプロダクトを自動的に同期する間隔を選択します。[Disable] を選択すると、同期がオフになります。
説明「権限の説明」で Cloud Security Posture Management を選択した場合、このパラメーターを設定する必要があります。
[AK サービスのステータスチェック]
Security Center が Huawei Cloud アカウント API キーの有効性を自動的にチェックする間隔を選択します。[Disable] を選択すると、チェックは実行されません。
-
最新のアセットの同期 をクリックして、Huawei Cloud アカウントのすべてのアセットを Security Center に同期します。
クイック設定 (ホストアセットのみ)
1. プライマリアカウントアクセスキーの作成
詳細については、「アクセスキーの追加」をご参照ください。
-
Huawei Cloud コンソールにログインし、アクセスキー ページに移動します。
-
[Add Access Key] をクリックします。ダイアログボックスで、[アクセスキーを作成するとアカウントにリスクが生じる可能性があることを理解しました] を選択し、[Continue] をクリックします。
-
[Created] ダイアログボックスで、[Download Now] をクリックします。
[credentials] ファイルから Access Key Id と Secret Access Key を保存します。
2. プライマリアカウント AK の送信
-
Security Center コンソールにログインします。
-
ナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
-
タブで、権限の新規付与 をクリックし、ドロップダウンリストから Huawei Cloud を選択します。
次のいずれかのエントリポイントから Add Assets Outside Cloud パネルを開くこともできます:
-
ページで、Add Multi-cloud Asset エリアの
アイコンにポインターを合わせ、Add の下の Huawei Cloud をクリックします。 -
ページの 設定のチェック タブで、Multi-cloud Service Integration エリアの
アイコンにポインターを合わせ、[Huawei Cloud] の下にある [追加] をクリックします。 -
ページで、Multi-cloud Service Access エリアの
アイコンにポインターを合わせ、Grant Permission の下の Huawei Cloud をクリックします。
-
-
Add Assets Outside Cloud パネルで、Quick Configuration を選択し、次へ をクリックします。
-
SubscriptionId ウィザードページで、取得したアカウントの AccessKeyId、SecretAccessKey、およびアカウント名を入力し、次へ をクリックします。
アカウント名は、同じクラウドプロバイダーの異なるアカウントを区別するために使用されます。用途に応じて、わかりやすい名前を設定することを推奨します。
上記の手順を完了すると、Security Center は Huawei Cloud コンソールに [AlibabaCloudGroup_] というプレフィックスを持つユーザーとユーザーグループを自動的に作成し、Security Center へのオンボードの承認を完了します。Huawei Cloud アセットのオンボードに影響を与える可能性があるため、このユーザーとその AK は削除または無効にしないことを推奨します。
3. オンボードポリシー設定の完了
-
Security Center コンソールの Add Assets Outside Cloud パネルで、Policy Configuration ウィザードでオンボードする Huawei Cloud アセットのリージョン、データ同期頻度、およびその他のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
[リージョン選択]
オンボードするアセットが属するリージョンを選択します。Security Center は、コンソールの左上隅で選択したデータセンター (Chinese Mainland または Outside Chinese Mainland) に基づいて、このアカウントのアセットデータを対応するデータセンターにオンボードします。
[リージョン管理]
このオプションを選択すると、この Huawei Cloud アカウントに新しいリージョンが追加された場合、Security Center は新しいリージョンのアセットデータを現在のデータセンターに自動的にオンボードします。
このオプションを選択しない場合、新しいリージョンのアセットは Security Center にオンボードされません。
[Host Asset Synchronization Frequency]
Security Center が Huawei Cloud ホストアセットを自動的に同期する間隔を選択します。[Disable] を選択すると、同期がオフになります。
[AK サービスのステータスチェック]
Security Center が Huawei Cloud プライマリアカウントのアクセスキーの有効性を自動的にチェックする間隔を選択します。[Disable] を選択すると、チェックは実行されません。
-
最新のアセットの同期 をクリックして、Huawei Cloud アカウントのすべてのホストアセットを Security Center に同期します。
4. プライマリアカウントアクセスキーの削除
詳細については、「アクセスキーの削除」をご参照ください。
-
Huawei Cloud コンソールにログインし、アクセスキー ページに移動します。
-
アクセスキーの [Actions] 列にある [Disable] をクリックし、ダイアログボックスで [OK] をクリックします。
-
アクセスキーの [Actions] 列にある [Delete] をクリックし、ダイアログボックスで [OK] をクリックします。
オンボード結果の確認
ホスト
Security Center コンソールで、 ページに移動します。マルチクラウドアセットオンボードエリアで、
アイコンをクリックして、オンボードされた Huawei Cloud ホストを表示します。詳細については、「サーバーアセット」をご参照ください。
CSPM
Security Center コンソールで、 ページに移動して、サブアカウント経由でオンボードされた Huawei Cloud プロダクトのリストを表示します。詳細については、「クラウドサービス情報の表示」をご参照ください。
Agentic SOC
Security Center コンソールで、 ページに移動します。マルチクラウドの設定と管理 タブで、Agentic SOC のサービスステータスを確認します。サービスステータスが [正常] と表示されている場合、オンボードは成功しています。[マルチクラウド設定] ページで、[マルチクラウド アセット] タブを選択して、承認されたクラウドアカウントのリスト (クラウドプロバイダー、アカウント名、キー ID、サービスステータス、使用ステータス、その他の列を含む) を表示します。[Add Authorization] をクリックして、クラウドアカウントを追加します。Huawei Cloud アカウントレコードを展開して、権限の詳細を表示します: [アカウント配下のサービスおよびリソースへの読み取り専用アクセス] のサービスステータスが [異常] と表示され、[脅威分析 - すべてのクラウドプロダクトの読み取りおよび一部の書き込み権限] のサービスステータスが [正常] と表示されます。[Actions] 列の [Modify] および [Delete] リンクを使用して、承認を管理できます。
次のステップ
ホストへのエージェントのインストールとライセンスのバインド
-
Huawei Cloud アセットに Security Center エージェントをインストールします。詳細については、「エージェントのインストール」をご参照ください。
重要インストールコマンドを生成する際、Huawei Cloud で サービスプロバイダー を選択する必要があります。
-
Free エディションは基本的なセキュリティスキャンのみをサポートし、保護機能はありません。オンボードした Huawei Cloud サーバーに Security Center の有料エディション (Anti-virus、Advanced、Enterprise、Ultimate など) をバインドして、Security Center のセキュリティ保護機能を使用できます。詳細については、「ホストおよびコンテナセキュリティクォータの管理」をご参照ください。
CSPM チェックの実行
-
「クラウドプラットフォーム設定リスクチェックポリシーの設定と実行」を実行して、Huawei Cloud プロダクトに設定リスクが存在するかどうかを確認します。
-
「失敗したクラウドプラットフォーム設定リスクチェック項目の表示と対処」をご参照ください。
Agentic SOC へのログの取り込み
Agentic SOC が提供する脅威検知、セキュリティイベント対応、およびその他の機能を使用するには、Huawei Cloud Web Application Firewall および Cloud Firewall からログを取り込む必要があります。ログを取り込む手順は次のとおりです:
-
Huawei Cloud ログを Agentic SOC に取り込みます。
-
「取り込むログを指定されたクラウドプロダクトに転送」をご参照ください。
-
「サードパーティクラウドアカウントのバインドとデータソースの設定」をご参照ください。
-
「サードパーティクラウドプロダクトからのログの取り込み」をご参照ください。
-
-
「脅威検知やセキュリティイベント対応などの Agentic SOC 機能の使用」をご参照ください。
関連ドキュメント
-
Cloud Security Posture Management の詳細については、「Cloud Security Posture Management (CSPM)」をご参照ください。
-
Agentic SOC の詳細については、「Agentic SOC (旧 CTDR)」をご参照ください。