特定のシナリオでは、Security Center はサービスリンクロール (SLR) を使用して、他の Alibaba Cloud サービスへのアクセス権限を取得し、機能をサポートします。このトピックでは、Security Center が使用する SLR の定義と利用シーンについて説明します。
サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。Security Center は SLR を使用して、他の Alibaba Cloud サービスまたはクラウドリソースへのアクセス権限を取得します。
ほとんどの場合、操作を実行すると、システムによって SLR が自動的に作成されます。システムが SLR を自動的に作成できない場合、または Security Center が自動作成をサポートしていない場合は、手動で SLR を作成する必要があります。
Resource Access Management (RAM) は、各 SLR に対してシステムポリシーを提供します。このポリシーは変更できません。特定の SLR のシステムポリシーの詳細を表示するには、ロールの詳細ページに移動します。詳細については、「システムポリシーリファレンス」をご参照ください。
利用シーン
次の表に、Security Center が提供する SLR を示します。
サービスリンクロール | サービス識別子 | 利用シーン |
AliyunServiceRoleForSas | sas.aliyuncs.com |
|
AliyunServiceRoleForSasCloudSiem | cloudsiem.sas.aliyuncs.com | Security Center が VPC や Cloud Firewall などの Alibaba Cloud サービスのリソースにアクセスできるようにします。これにより、脅威分析と対応機能を使用して、接続されている Alibaba Cloud サービスのログを検出し、ログを配信し、関連イベントを処理できます。これにより、アラートの一元管理や脅威元の分析などの機能が提供されます。 |
AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | Security Center が ActionTrail などの Alibaba Cloud サービスのリソースにアクセスできるようにします。これにより、クラウドセキュリティポスチャ管理機能は、クラウドプラットフォームの設定チェック機能を提供できます。 |
AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | マルチアカウントシナリオでは、このロールにより、Security Center の委任された管理者アカウントがリソースディレクトリ内のメンバーアカウントの Security Center コンソールにアクセスできます。これにより、委任された管理者アカウントは、企業の複数のメンバーアカウントのセキュリティ保護設定を一元的に構成し、各メンバーアカウントのセキュリティリスクステータスをリアルタイムで監視できます。 |
AliyunServiceRoleForSasSecurityLake | security-lake.sas.aliyuncs.com | 脅威分析コールドデータ機能を使用する場合、このロールにより、この機能は Object Storage Service (OSS) および Data Lake Formation (DLF) のリソースにアクセスできます。これにより、脅威分析と対応のログデータを管理し、データに対してインタラクティブなクエリと分析を実行できます。 |
サービスリンクロールの作成
AliyunServiceRoleForSas
以下のいずれかの機能を初めて使用し、必要な権限を付与すると、システムは自動的に AliyunServiceRoleForSas SLR を作成します。
モジュール | 機能 |
リスクガバナンス |
|
コンテナーセキュリティ |
|
ホストセキュリティ |
|
その他の設定 |
|
AliyunServiceRoleForSasCloudSiem
脅威分析と対応機能を初めて使用し、必要な権限を付与すると、システムは自動的に AliyunServiceRoleForSasCloudSiem SLR を作成します。詳細については、「脅威分析と対応機能に Alibaba Cloud リソースへのアクセス権限を付与する」をご参照ください。
AliyunServiceRoleForSasCspm
クラウドセキュリティポスチャ管理機能を初めて使用し、必要な権限を付与すると、システムは自動的に AliyunServiceRoleForSasCspm SLR を作成します。
2022 年 11 月 21 日 (UTC+8) 以降、クラウドセキュリティポスチャ管理機能のアクセスポリシーは、AliyunServiceRoleForSas SLR から AliyunServiceRoleForSasCspm に移行されます。クラウドセキュリティポスチャ管理が提供する機能を引き続き使用するには、[クラウドセキュリティポスチャ管理] ページに移動します。[ロールポリシー移行リマインダー] ダイアログボックスで、OK をクリックしてポリシーの移行を確認します。その後、今すぐ権限付与 をクリックして権限付与を完了します。
AliyunServiceRoleForSasRd
管理アカウントまたは委任された管理者アカウントがマルチアカウントセキュリティ管理機能を使用して、リソースディレクトリのメンバーアカウントを監視対象アカウントリストに追加すると、AliyunServiceRoleForSasRd SLR がメンバーアカウントの下に自動的に作成されます。
AliyunServiceRoleForSasSecurityLake
脅威分析と対応のログ管理のためにコールドデータ機能を初めて使用し、必要な権限を付与すると、システムは自動的に AliyunServiceRoleForSasSecurityLake SLR を作成します。
サービスリンクロールの表示
SLR が作成された後、RAM コンソールの [ロール] ページでロールに関する以下の情報を表示できます。
基本情報
ロール詳細ページの [基本情報] セクションで、ロール名、作成時間、Alibaba Cloud リソース名 (ARN)、説明などのロールの基本情報を表示します。
アクセスポリシー
ロール詳細ページの [権限] タブで、アクセスポリシーの名前をクリックしてポリシードキュメントを表示します。
説明SLR のアクセスポリシーは、ロール自体からのみ表示できます。RAM コンソールの [ポリシー] ページで直接ポリシーを表示することはできません。
信頼ポリシー
ロール詳細ページの [信頼ポリシー] タブで、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールの信頼できるエンティティを記述します。信頼できるエンティティとは、RAM ロールを偽装できる ID のことです。SLR の信頼できるエンティティは Alibaba Cloud サービスです。これは、信頼ポリシーの
Serviceフィールドで確認できます。
SLR の表示方法の詳細については、「RAM ロールの表示」をご参照ください。
サービスリンクロールの削除
SLR を削除すると、そのロールに依存する機能が利用できなくなります。操作は慎重に行ってください。
長期間 Security Center を使用しなくなった場合、または Alibaba Cloud アカウントからログオフする前に、Resource Access Management (RAM) コンソールで手動で SLR を削除する必要がある場合があります。詳細については、「RAM ロールの削除」をご参照ください。
関連ドキュメント
SLR について詳しくは、「サービスリンクロール」をご参照ください。