すべてのプロダクト
Search
ドキュメントセンター

Security Center:Security Centerのサービスにリンクされたロール

最終更新日:Dec 16, 2024

特定のシナリオでは、Security Centerが機能を実装する前に、他のクラウドサービスのリソースにアクセスする権限を取得する必要があります。 権限を取得するには、Security Centerがサービスにリンクされたロールを引き受ける必要があります。 このトピックでは、ロールの定義やシナリオなど、Security Centerのサービスにリンクされたロールについて説明します。

サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 他のクラウドサービスまたはリソースにアクセスする権限を取得するには、Security Centerがサービスにリンクされたロールを引き受ける必要があります。

ほとんどの場合、Security Centerで操作を実行すると、サービスにリンクされたロールが自動的に作成されます。 システムがサービスにリンクされたロールの作成に失敗した場合、またはSecurity Centerが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。

RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 ポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、サービスにリンクされたロールの詳細ページに移動します。 詳細については、「

システムポリシー参照

シナリオ

次の表に、Security Centerに提供されるサービスにリンクされたロールを示します。

サービスにリンクされたロール

サービス識別子

シナリオ

AliyunServiceRoleForSas

sas.aliyuncs.com

  • このロールを使用して、Container RegistryやApsaraDB RDSなどのクラウドサービスのリソースへのアクセスをSecurity Centerに許可し、コンテナー資産のセキュリティリスクを検出できます。

  • このロールを使用して、Virtual Private cloud (VPC) やElastic Compute Service (ECS) などのクラウドサービスのリソースへのアクセスをSecurity Centerに許可することができます。 次に、クラウドハニーポット機能を有効にして、クラウド内外の攻撃検出機能と攻撃ソーストレース機能を取得できます。

  • このロールを使用して、ECSなどのクラウドサービスのリソースへのアクセスをSecurity Centerに許可することができます。 その後、ブルートフォース攻撃に対する防御機能を有効にして、サーバーのパスワードが解読されるのを防ぐことができます。

  • このロールを使用して、Security CenterにSimple Log Serviceなどのクラウドサービスのリソースへのアクセスを許可できます。 次に、ログ分析機能を有効にして、ログクエリと分析機能を取得できます。

  • このロールを使用して、ECSインスタンスなどのリソースへのアクセスをSecurity Centerに許可し、

    ECSイメージ 次に、エージェントレス検出機能を有効にして、 Security Centerサービスアカウントを持つECSイメージを使用し、イメージ内のデータに対してセキュリティスキャンを実行します。

  • このロールを使用して、Security CenterにCloud BackupやECSなどのクラウドサービスのリソースへのアクセスを許可できます。 次に、ランサムウェア対策機能を有効にして、ランサムウェアを防御し、データをバックアップできます。

  • このロールを使用して、リソースディレクトリの管理アカウントまたは委任された管理者アカウントを使用して、リソースディレクトリなどのクラウドサービスのリソースへのアクセスをSecurity Centerに許可することができます。 次に、マルチアカウント管理機能を有効にして、複数のメンバーのセキュリティリスクを一元管理できます。

  • このロールを使用して、Security CenterにObject Storage Service (OSS) リソースへのアクセスを許可できます。 次に、悪意のあるファイル検出機能のSDKを有効にして、OSSオブジェクトのウイルスチェックを行うことができます。

  • このロールを使用して、Security CenterにKey Management Service (KMS) リソースへのアクセスを許可できます。 次に、悪意のあるファイル検出機能用SDKを有効にして、SSE-KMSを使用して暗号化されたObject Storage Service (OSS) オブジェクトを復号化およびチェックできます。

AliyunServiceRoleForSasCloudSiem

cloudsiem.sas.aliyuncs.com

このロールを使用して、VPCやクラウドファイアウォールなどのクラウドサービスのリソースへのアクセスをSecurity Centerに許可することができます。 その後、クラウド脅威検出および応答 (CTDR) 機能を使用して、機能に追加したクラウドサービスのログを監視し、ログを配信し、セキュリティイベントを処理できます。 CTDR機能は、集中的なアラート管理と脅威ソーストレース機能を提供します。

AliyunServiceRoleForSasCspm

cspm.sas.aliyuncs.com

このロールを使用して、Security CenterにActionTrailなどのクラウドサービスのリソースへのアクセスを許可できます。 次に、構成評価機能を有効にして、クラウドサービスの構成を確認できます。

AliyunServiceRoleForSasRd

rd.sas.aliyuncs.com

このロールを使用して、マルチアカウント管理機能が有効になっている場合に、リソースディレクトリのメンバーとしてSecurity Centerコンソールにログインするように、Security Centerの委任された管理者アカウントを許可できます。 これにより、企業の複数のメンバーのセキュリティ設定を一元的に構成し、メンバーのセキュリティステータスをリアルタイムで監視できます。

AliyunServiceRoleForSasSecurityLake

security-lake.sas.aliyuncs.com

このロールを使用して、Security CenterにOSSおよびData Lake Formation (DLF) のリソースへのアクセスを許可できます。 次に、CTDR機能のコールドデータストレージソリューションを使用して、ログデータを管理し、データに対してインタラクティブなクエリと分析を実行できます。

サービスにリンクされたロールの作成

AliyunServiceRoleForSas

次のいずれかの機能を初めて使用し、必要な権限を取得すると、AliyunServiceRoleForSasサービスにリンクされたロールが自動的に作成されます。

モジュール

機能

リスクガバナンス

  • 悪意のあるファイル検出用 SDK

  • ログ分析

コンテナセキュリティ

  • コンテナ管理

  • コンテナーイメージスキャン

  • コンテナ署名

  • Kubernetesコンテナでの脅威検出

ホストセキュリティ

  • クラウドハニーポット

  • ブルートフォース攻撃に対する防御

  • エージェントレス検出

  • ランサムウェア対策

  • ウイルスの検出と除去

  • アダプティブ脅威検出

その他

  • プレイブック

  • マルチアカウント管理

AliyunServiceRoleForSasCloudSiem

CTDR機能を初めて使用して必要な権限を取得すると、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールが自動的に作成されます。 詳細については、「概要」をご参照ください。

AliyunServiceRoleForSasCspm

初めて構成評価機能を使用して必要な権限を取得すると、AliyunServiceRoleForSasCspmサービスにリンクされたロールが自動的に作成されます。

説明

2022年11月21日 (UTC + 8) に、構成評価機能のポリシーがAliyunServiceRoleForSasサービスにリンクされたロールからAliyunServiceRoleForSasCspmサービスにリンクされたロールに移行されます。 構成評価機能が期待どおりに機能するようにするには、設定アセスメント ページに移動し、[ロールポリシー移行リマインダー] メッセージの OK をクリックします。 次に、今すぐ権限付与 をクリックして承認を完了します。

AliyunServiceRoleForSasRd

リソースディレクトリの管理アカウントまたは委任された管理者アカウントがマルチアカウント管理機能を使用してリソースディレクトリのメンバーを管理アカウントのリストに追加すると、そのメンバーに対してAliyunServiceRoleForSasRdサービスにリンクされたロールが自動的に作成されます。

AliyunServiceRoleForSasSecurityLake

CTDR機能のコールドデータストレージソリューションを初めて使用し、必要な権限を取得すると、AliyunServiceRoleForSasSecurityLakeサービスにリンクされたロールが自動的に作成されます。

サービスにリンクされたロールに関する情報の表示

サービスにリンクされたロールの作成後、サービスにリンクされたロールに関する情報を表示できます。 情報を表示するには、RAMコンソールの [ロール] ページでロールを見つけ、ロールの名前をクリックします。 次に、ロールの詳細ページで、ロールに関する次の情報を表示できます。

  • 基本情報

    [基本情報] セクションでは、名前、作成時刻、Alibaba Cloud Resource name (ARN) 、説明など、ロールに関する基本情報を表示できます。

  • ポリシー

    [権限] タブでポリシー名をクリックすると、ポリシードキュメントを表示できます。

    説明

    サービスにリンクされたロールにアタッチされたポリシーは、RAMコンソールの [ポリシー] ページで表示できません。 ポリシーは、ロールの詳細ページでのみ表示できます。

  • 信頼ポリシー

    [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーの内容を表示できます。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼できるエンティティは、RAMロールを引き受けることができるエンティティです。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 信頼ポリシーの [サービス] フィールドの値を表示して、信頼できるエンティティを取得できます。

サービスにリンクされたロールを表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

サービスにリンクされたロールの削除

重要

サービスにリンクされたロールが削除されると、ロールに依存する機能は使用できなくなります。 作業は慎重に行ってください。

Security Centerを長期間使用しない場合、またはAlibaba Cloudアカウントを削除する場合は、RAMコンソールでサービスにリンクされたロールを手動で削除する必要があります。 詳細については、「RAMロールの削除」をご参照ください。

関連ドキュメント

サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。