特定のシナリオでは、Security Centerが機能を実装する前に、他のクラウドサービスのリソースにアクセスする権限を取得する必要があります。 権限を取得するには、Security Centerがサービスにリンクされたロールを引き受ける必要があります。 このトピックでは、ロールの定義やシナリオなど、Security Centerのサービスにリンクされたロールについて説明します。
サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 他のクラウドサービスまたはリソースにアクセスする権限を取得するには、Security Centerがサービスにリンクされたロールを引き受ける必要があります。
ほとんどの場合、Security Centerで操作を実行すると、サービスにリンクされたロールが自動的に作成されます。 システムがサービスにリンクされたロールの作成に失敗した場合、またはSecurity Centerが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。
RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 ポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、サービスにリンクされたロールの詳細ページに移動します。 詳細については、「
システムポリシー参照。シナリオ
次の表に、Security Centerに提供されるサービスにリンクされたロールを示します。
サービスにリンクされたロール | サービス識別子 | シナリオ |
AliyunServiceRoleForSas | sas.aliyuncs.com |
|
AliyunServiceRoleForSasCloudSiem | cloudsiem.sas.aliyuncs.com | このロールを使用して、VPCやクラウドファイアウォールなどのクラウドサービスのリソースへのアクセスをSecurity Centerに許可することができます。 その後、クラウド脅威検出および応答 (CTDR) 機能を使用して、機能に追加したクラウドサービスのログを監視し、ログを配信し、セキュリティイベントを処理できます。 CTDR機能は、集中的なアラート管理と脅威ソーストレース機能を提供します。 |
AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | このロールを使用して、Security CenterにActionTrailなどのクラウドサービスのリソースへのアクセスを許可できます。 次に、構成評価機能を有効にして、クラウドサービスの構成を確認できます。 |
AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | このロールを使用して、マルチアカウント管理機能が有効になっている場合に、リソースディレクトリのメンバーとしてSecurity Centerコンソールにログインするように、Security Centerの委任された管理者アカウントを許可できます。 これにより、企業の複数のメンバーのセキュリティ設定を一元的に構成し、メンバーのセキュリティステータスをリアルタイムで監視できます。 |
AliyunServiceRoleForSasSecurityLake | security-lake.sas.aliyuncs.com | このロールを使用して、Security CenterにOSSおよびData Lake Formation (DLF) のリソースへのアクセスを許可できます。 次に、CTDR機能のコールドデータストレージソリューションを使用して、ログデータを管理し、データに対してインタラクティブなクエリと分析を実行できます。 |
サービスにリンクされたロールの作成
AliyunServiceRoleForSas
次のいずれかの機能を初めて使用し、必要な権限を取得すると、AliyunServiceRoleForSasサービスにリンクされたロールが自動的に作成されます。
モジュール | 機能 |
リスクガバナンス |
|
コンテナセキュリティ |
|
ホストセキュリティ |
|
その他 |
|
AliyunServiceRoleForSasCloudSiem
CTDR機能を初めて使用して必要な権限を取得すると、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールが自動的に作成されます。 詳細については、「概要」をご参照ください。
AliyunServiceRoleForSasCspm
初めて構成評価機能を使用して必要な権限を取得すると、AliyunServiceRoleForSasCspmサービスにリンクされたロールが自動的に作成されます。
2022年11月21日 (UTC + 8) に、構成評価機能のポリシーがAliyunServiceRoleForSasサービスにリンクされたロールからAliyunServiceRoleForSasCspmサービスにリンクされたロールに移行されます。 構成評価機能が期待どおりに機能するようにするには、設定アセスメント ページに移動し、[ロールポリシー移行リマインダー] メッセージの OK をクリックします。 次に、今すぐ権限付与 をクリックして承認を完了します。
AliyunServiceRoleForSasRd
リソースディレクトリの管理アカウントまたは委任された管理者アカウントがマルチアカウント管理機能を使用してリソースディレクトリのメンバーを管理アカウントのリストに追加すると、そのメンバーに対してAliyunServiceRoleForSasRdサービスにリンクされたロールが自動的に作成されます。
AliyunServiceRoleForSasSecurityLake
CTDR機能のコールドデータストレージソリューションを初めて使用し、必要な権限を取得すると、AliyunServiceRoleForSasSecurityLakeサービスにリンクされたロールが自動的に作成されます。
サービスにリンクされたロールに関する情報の表示
サービスにリンクされたロールの作成後、サービスにリンクされたロールに関する情報を表示できます。 情報を表示するには、RAMコンソールの [ロール] ページでロールを見つけ、ロールの名前をクリックします。 次に、ロールの詳細ページで、ロールに関する次の情報を表示できます。
基本情報
[基本情報] セクションでは、名前、作成時刻、Alibaba Cloud Resource name (ARN) 、説明など、ロールに関する基本情報を表示できます。
ポリシー
[権限] タブでポリシー名をクリックすると、ポリシードキュメントを表示できます。
説明サービスにリンクされたロールにアタッチされたポリシーは、RAMコンソールの [ポリシー] ページで表示できません。 ポリシーは、ロールの詳細ページでのみ表示できます。
信頼ポリシー
[信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーの内容を表示できます。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼できるエンティティは、RAMロールを引き受けることができるエンティティです。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 信頼ポリシーの
[サービス]
フィールドの値を表示して、信頼できるエンティティを取得できます。
サービスにリンクされたロールを表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。
サービスにリンクされたロールの削除
サービスにリンクされたロールが削除されると、ロールに依存する機能は使用できなくなります。 作業は慎重に行ってください。
Security Centerを長期間使用しない場合、またはAlibaba Cloudアカウントを削除する場合は、RAMコンソールでサービスにリンクされたロールを手動で削除する必要があります。 詳細については、「RAMロールの削除」をご参照ください。
関連ドキュメント
サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。