すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:信頼済みインスタンスの作成

    ドキュメントセンター

    Elastic Compute Service:信頼済みインスタンスの作成

    最終更新日:Nov 09, 2025

    Alibaba Cloud 信頼済みシステムを使用するには、信頼済みインスタンスを作成する際に特定の権限を有効にする必要があります。これにより、信頼済みインスタンスは起動時に信頼情報を Security Center に報告できます。このトピックでは、Alibaba Cloud 信頼済みシステムを使用する信頼済みインスタンスの作成方法について説明します。

    信頼済みインスタンスの作成

    コンソールでの信頼済みインスタンスの作成

    コンソールで信頼済みインスタンスを作成する手順は、通常のインスタンスを作成する手順と似ています。ただし、特定のオプションを設定する必要があります。このセクションでは、信頼済みインスタンスに固有の設定について説明します。その他の一般的な設定の詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。

    1. ECS コンソール - インスタンスに移動します。

    2. [インスタンスの作成] をクリックします。

    3. [インスタンスとイメージ] セクションで、インスタンスとイメージを選択します。

      • インスタンス: vTPM 対応のインスタンスタイプを選択します。詳細については、「信頼できるコンピューティングをサポートするインスタンスファミリー」をご参照ください。

      • イメージ:

        1. [Trusted System] を選択します。

          説明

          [Trusted System] を選択すると、インスタンスに対して Alibaba Cloud 信頼済みシステムが有効になり、インスタンスの起動時に信頼性の検証が実行されます。独自の信頼済みサービスシステムを構築する場合は、このステップをスキップできます。

        2. インスタンスファミリーに基づいて、サポートされているイメージバージョンを選択します。

    4. [帯域幅とセキュリティグループ] セクションで、セキュリティグループを選択します。[Key Management Service の有効化] ダイアログボックスが表示されたら、[有効化] をクリックします。

      信頼済みインスタンスを作成する際には、KMS を有効化する必要があります。そうしないと、インスタンスの作成に失敗します。

    5. 必要に応じて、[高度なオプション] をクリックし、RAM ロール を選択します。

      インスタンスに [Trusted System] を選択した場合、信頼済みサービスにアクセスする権限を持つ RAM ロールを設定する必要があります。Alibaba Cloud は、この目的のためにサービスロール AliyunECSInstanceForYundunSysTrustRole を提供しています。このロールを設定するには、次の手順に従うことをお勧めします。

      説明

      より正確またはカスタマイズされた設定が必要な場合は、カスタムロールを作成して必要な権限を付与できます。カスタム RAM ロールの作成に関する注意事項の詳細については、「RAM ロールの権限に関する注意事項」をご参照ください。

      1. [今すぐ承認] をクリックします。

        image.png

      2. [クラウドリソースアクセス承認] ダイアログボックスで、[承認に同意] をクリックします。

      3. 新しいウィンドウで、[承認] をクリックします。

      4. [承認済み] をクリックします。

        已授权确认

      5. AliyunECSInstanceForYundunSysTrustRole RAM ロールを選択します。

        image.png

        説明

        このステップをスキップして、インスタンスの作成後に権限を付与することもできます。詳細については、「インスタンス RAM ロール」をご参照ください。

    6. 画面の指示に従って、インスタンスの作成を完了します。

    API による作成

    API を呼び出して信頼済みインスタンスを作成する場合は、次の点に注意してください。

    • まず KMS を有効化する必要があります。そうしないと、インスタンスの作成に失敗します。詳細については、「Key Management Service の有効化」をご参照ください。

    • Alibaba Cloud 信頼済みシステムを使用する場合、信頼済みサービスにアクセスする権限を持つ RAM ロールを設定する必要があります。これにより、信頼済みインスタンスは起動時に信頼情報を Security Center に報告できます。詳細については、「インスタンス RAM ロール」をご参照ください。カスタム RAM ロールの作成に関する注意事項については、「RAM ロールの権限に関する注意事項」をご参照ください。

      説明

      独自の信頼済みサービスシステムを構築する場合、この RAM ロールを設定する必要はありません。

    RunInstances または CreateInstance を呼び出してインスタンスを作成できます。次の表に、設定する必要があるパラメーターを示します。

    パラメーター

    説明

    InstanceType

    vTPM 機能をサポートするインスタンスタイプを指定します。詳細については、「信頼できるコンピューティングをサポートするインスタンスファミリー」をご参照ください。

    ecs.c6t.large

    ImageId

    信頼済みインスタンスでサポートされているイメージの ID を指定します。DescribeImages を呼び出してイメージ ID を表示できます。

    aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd

    SystemDisk.Category

    信頼済みインスタンスは ESSD のみをサポートします。

    cloud_essd

    VSwitchId

    信頼済みインスタンスは VPC のみをサポートします。したがって、vSwitch ID を指定する必要があります。

    vsw-bp134jzf285qg9u6w****

    RamRoleName

    RAM ロールの名前を指定します。インスタンスの作成後に AttachInstanceRamRole を呼び出して、インスタンスに RAM ロールを付与することもできます。

    AliyunECSInstanceForYundunSysTrustRole

    UserData

    Alibaba Cloud 信頼済みシステムをインストールするためのインストールスクリプトを指定します。スクリプトは Base64 でエンコードする必要があります。

    Base64 エンコーディング前のスクリプトのプレーンテキストコンテンツについては、「Alibaba Cloud 信頼済みシステムをインストールするためのスクリプト」をご参照ください。

    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

    SecurityOptions.TrustedSystemMode

    信頼済みシステムモード。RunInstances を呼び出して信頼済みインスタンスを作成するときに、InstanceType パラメーターを g7t、c7t、または r7t に設定した場合は、SecurityOptions.TrustedSystemMode=vTPM を設定する必要があります。それ以外の場合は、このパラメーターを無視できます。

    説明

    OpenAPI を使用して信頼済みシステムの ECS インスタンスを作成する場合、RunInstances のみ呼び出すことができます。CreateInstance は信頼済みシステムモードパラメーター (SecurityOptions.TrustedSystemMode) をサポートしていません。

    vTPM

    リクエストの例:

    https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<共通リクエストパラメーター>

    レスポンスの例:

    • XML フォーマット

      <RunInstancesResponse>
      <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId>
      <InstanceIdSets>
            <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet>
      </InstanceIdSets>
</RunInstancesResponse>

    • JSON フォーマット

      {
    "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672",
    "InstanceIdSets": {
        "InstanceIdSet": [
            "i-bp16byi4f3fti5b3****"
        ]
    }
}

    RAM ロールの権限に関する注意事項

    最小限の必要な権限でカスタムポリシーを作成し、それを RAM ロールにアタッチすることをお勧めします。信頼済みサービスには、[システムポリシー] (AliyunSysTrustFullAccess) または [カスタムポリシー] を選択できます。次のポリシーは、信頼済みサービスにアクセスするための詳細な権限を提供します。

    重要

    RAM 権限にはセキュリティリスクが伴います。最小権限の原則に従い、ロールに過剰な権限を付与しないことを強くお勧めします。詳細については、「リソースアクセスマネジメント (RAM) とは」をご参照ください。

    {
  "Statement": [
    {
      "Action": [
        "yundun-systrust:GenerateNonce",
        "yundun-systrust:GenerateAikcert",
        "yundun-systrust:ProduceAikcert",
        "yundun-systrust:RegisterMessage",
        "yundun-systrust:PutMessage",
        "yundun-systrust:QuoteMessage"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

    自定义策略

    Alibaba Cloud 信頼済みシステムをインストールするためのスクリプト

    #!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
TOKEN=`curl -s -X PUT -H "X-aliyun-ecs-metadata-token-ttl-seconds: 5" "http://100.100.100.200/latest/api/token"`
REGION_ID=`curl -s -H "X-aliyun-ecs-metadata-token: $token" http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="サイトからインストールスクリプトをダウンロードしています"
MSG_ERR="ファイルのダウンロードエラー。"
MSG_OK="信頼クライアントの初期化が完了しました。"

install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}

install
echo "${MSG_OK}"

exit 0