信頼できるインスタンスを作成するときは、Alibaba Cloud trusted Systemを使用し、信頼できるインスタンスに対して特定の権限を有効にして、信頼情報をAlibaba Cloud Security Centerに報告する必要があります。 このトピックでは、Alibaba Cloud trusted Systemを使用する信頼できるECS (Elastic Compute Service) インスタンスを作成する方法について説明します。
信頼できるインスタンスの作成
ECSコンソールで信頼できるインスタンスを作成
ECSコンソールでは、通常のインスタンスと同様に信頼できるインスタンスを作成できます。 ただし、信頼できるインスタンスを作成するときは、特定の設定に注意する必要があります。 このセクションでは、インスタンス購入ページの信頼できるインスタンス固有の設定について説明します。 インスタンス購入ページの一般設定については、「ウィザードを使用したインスタンスの作成」をご参照ください。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[インスタンスの作成] をクリックします。
[基本設定] ステップで設定を行います。
次のパラメータに注意してください。
インスタンスタイプ: 仮想Trusted Platform Module (vTPM) 機能をサポートするインスタンスタイプを選択します。 vTPMをサポートするインスタンスファミリーについては、「概要」トピックの「信頼できるコンピューティング機能をサポートするインスタンスファミリー」セクションをご参照ください。
画像:
選択したインスタンスファミリーでサポートされているイメージバージョンを選択します。
(オプション) [信頼できるシステム] を選択します。
説明インスタンスの作成時に [Trusted System] を選択した場合、インスタンスに対してAlibaba Cloud Trusted Systemが有効になっています。 Alibaba Cloud Trusted Systemは、インスタンスの起動時にインスタンスの信頼検証を実行します。 自己管理の信頼できるサービスシステムを使用する場合は、この手順を無視してください。
[次へ] をクリックして、ネットワーキング手順に進みます。 [KMSの有効化] ダイアログボックスが表示されたら、[有効化] をクリックします。
信頼できるインスタンスを作成するときに、Key Management Service (KMS) が有効化されていることを確認してください。 それ以外の場合、インスタンスは作成できません。 KMSが既に有効化されている場合、ダイアログボックスは表示されません。 [ネットワーキング] ステップに進みます。
(必須) [次へ] をクリックして、[システム設定] ステップに進みます。
[信頼できるシステム] が選択されている場合、インスタンスのリソースアクセス管理 (RAM) ロールを指定する必要があります。 RAMロールは、Alibaba Cloud Trusted Systemにアクセスできる必要があります。 Alibaba Cloudは、AliyunECSInstanceForYundunSysTrustRoleサービスにリンクされたロールを提供します。 以下の手順を実行して、ロールの設定および選択を行うことを推奨します。
説明ロールを作成し、必要に応じて権限を付与することもできます。 RAMロールの作成に関する注意事項については、このトピックの「RAMロールへの権限付与に関する注意事項」を参照してください。
クリック承認.
[クラウドリソースアクセス権限付与] ダイアログボックスで、[権限付与] をクリックします。
表示されるページで、[権限付与ポリシーの確認] をクリックします。
[許可済み] をクリックします。
RAM ロールとして [AliyunECSInstanceForYundunSysTrustRole] を選択します。
説明インスタンスの作成後、許可手順をスキップして権限を付与することもできます。 詳細については、「ECSインスタンスへのインスタンスRAMロールのアタッチ」をご参照ください。
画面上の指示に従ってインスタンスを作成します。
APIを呼び出して信頼できるインスタンスを作成する
API操作を呼び出して信頼できるインスタンスを作成するときは、次の項目に注意してください。
KMSが有効になっていることを確認します。 それ以外の場合、インスタンスは作成できません。 詳細については、「専用KMSインスタンスの購入」をご参照ください。
Alibaba Cloud Trusted Systemを使用する場合は、信頼できるインスタンスに対してAlibaba Cloud Trusted SystemにアクセスできるRAMロールを指定する必要があります。 これにより、信頼できるインスタンスは、起動時に信頼情報をAlibaba Cloud Security Centerに報告します。 詳細については、「ECSインスタンスへのインスタンスRAMロールのアタッチ」をご参照ください。 RAMロールの作成に関する注意事項については、このトピックの「RAMロールへの権限付与に関する注意事項」を参照してください。
説明自己管理型の信頼できるサービスシステムを使用する場合は、インスタンスにRAMロールを指定する必要はありません。
インスタンスを作成するには、RunInstancesまたはCreateInstance操作を呼び出します。 次の表に、注意が必要なパラメーターをいくつか示します。
パラメーター | 説明 | 例 |
InstanceType | インスタンスタイプです。 vTPMをサポートするインスタンスタイプを選択します。vTPMをサポートするインスタンスファミリーについては、「概要」トピックの「信頼できるコンピューティング機能をサポートするインスタンスファミリー」セクションをご参照ください。 | ecs.c6t.large |
ImageId | イメージの ID です。 DescribeImages API を呼び出して、イメージ ID を照会できます。 | aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd |
SystemDisk.Category | システムディスクのカテゴリ。 信頼できるインスタンスのシステムディスクとして使用できるのは、拡張SSD (ESSD) のみです。 | cloud_essd |
VSwitchId | VSwitch の ID です。 すべての信頼済みインスタンスが仮想プライベートクラウド (VPC) に存在するため、このパラメーターが必要です。 | vsw-bp134jzf285qg9u6w **** |
RamRoleName | インスタンスRAMロールの名前。 インスタンスの作成後にAttachInstanceRamRole操作を呼び出して、インスタンスRAMロールをインスタンスにアタッチすることもできます。 | AliyunECSInstanceForYundunSysTrustRole |
UserData | Alibaba Cloud Trusted Systemのインストールに使用されるインストールスクリプト。Base64でエンコードする必要があります。 スクリプトがBase64でエンコードされる前の平文のスクリプトコンテンツについては、このトピックの「Alibaba Cloud Trusted Systemのインストールに使用されるスクリプト」をご参照ください。 | |
SecurityOptions.TrustedSystemMode | 信頼できるシステムモード。 RunInstances操作を呼び出して信頼できるインスタンスを作成する場合、InstanceTypeをg7t、c7t、またはr7tに設定する場合は、 説明 信頼できるインスタンスを作成するには、RunInstances操作のみを呼び出すことができます。 CreateInstance操作を呼び出す場合、 | vTPM |
リクエストの例
https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<Common request parameters>正常に処理された場合のレスポンス例
XML 形式
<RunInstancesResponse> <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId> <InstanceIdSets> <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet> </InstanceIdSets> </RunInstancesResponse>JSON 形式
{ "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672", "InstanceIdSets": { "InstanceIdSet": [ "i-bp16byi4f3fti5b3****" ] } }
RAMロールに権限を付与する際の注意事項
最低限必要な権限を含むカスタムポリシーを作成し、そのポリシーをRAMロールにアタッチすることを推奨します。 Alibaba Cloud Trust Systemの権限タイプをシステムポリシー (AliyunSysTrustFullAccess) に設定できます。 権限タイプをカスタムポリシーに設定して、正確な権限付与を行うこともできます。 次のコードスニペットは、Alibaba Cloud Trust Systemへのアクセスを許可するポリシーを示しています。
より多くの権限を付与するAdministratorAccessなどのシステムポリシーを選択できます。 ただし、RAMロールに多すぎる権限を付与すると、セキュリティ上のリスクが生じる可能性があります。 最小特権の原則に基づいて権限を付与することを推奨します。 詳細については、「RAM の概要」、
{
"Statement": [
{
"Action": [
"yundun-systrust:GenerateNonce",
"yundun-systrust:GenerateAikcert",
"yundun-systrust:RegisterMessage",
"yundun-systrust:PutMessage"
],
"Resource": "*",
"Effect": "Allow"
}
],
"Version": "1"
}
Alibaba Cloud Trusted Systemのインストールに使用するスクリプト
#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
REGION_ID=`curl -s --retry 1 --max-time 3 http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."
install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}
install
echo "${MSG_OK}"
exit 0