すべてのプロダクト
Search

このプロダクト

    Security Center:構成チェックのためのクラウド資産の追加

    ドキュメントセンター

    Security Center:構成チェックのためのクラウド資産の追加

    最終更新日:Jan 28, 2026

    公開読み取りアクセスが可能なストレージバケットや、パッチが適用されていないセキュリティ脆弱性など、不適切な構成のクラウド資産は、データ漏洩やサービス中断といった深刻なセキュリティインシデントにつながる可能性があります。Cloud Security Posture Management (CSPM) は、自動セキュリティチェック機能を提供し、Alibaba Cloud、マルチクラウド環境、および自己管理 Kubernetes (K8s) クラスターにおける構成リスクを継続的に検出します。また、CSPM は資産の全体的なセキュリティとコンプライアンスを向上させるための修正の提案も提供します。このトピックでは、構成リスクチェック機能を利用するために、Security Center にクラウド資産を追加する方法について説明します。

    前提条件

    開始する前に、以下をご確認ください:

    • 適切な権限を持つ Security Center アカウント

    • (サードパーティクラウドの場合) ターゲットクラウドプラットフォームのアクセス認証情報

    • (K8s クラスターの場合) クラスターへの kubectl アクセス

    サポートされる資産タイプ

    Security Center の CSPM は、複数のソースからのクラウド資産の追加をサポートしています:

    資産タイプ

    同期方法

    サポートされるプラットフォーム

    Alibaba Cloud サービス

    自動

    アカウント内のすべてのサービス

    サードパーティクラウドプラットフォーム

    手動

    AWS、Azure、Huawei Cloud、Tencent Cloud、Volcano Engine

    コンテナー環境

    手動

    自己管理 Kubernetes クラスター

    サービスティア

    Security Center は、2 つのティアの構成チェックを提供します:

    機能

    無料の基本チェック

    CSPM

    検出

    はい

    はい

    検証

    はい

    はい

    修正

    いいえ

    はい

    すべての構成リスクチェック

    いいえ

    はい

    高度な CSPM 機能

    いいえ

    はい

    説明

    検出と検証は無料です。修正には有料の CSPM サービスが必要で、サブスクリプションまたは従量課金で利用できます。

    サポートされるクラウドサービスの表示

    Security Center コンソールで、サポートされている Alibaba Cloud サービス、サードパーティクラウドプラットフォーム、およびそれぞれのクラウドサービスを表示します:

    1. Security Center コンソールにログインします。

    2. 設定のチェック タブで、チェック項目リストの上にある クラウドプロダクト を選択します。

    3. Alibaba Cloud または Tencent CloudAWS などのサードパーティクラウドプラットフォームをクリックして、Security Center に追加できるクラウドサービスのリストを表示します。

    Alibaba Cloud

    Security Center は、ご利用の Alibaba Cloud アカウント内のクラウドサービスを自動的に同期します。手動での操作は必要ありません。

    サードパーティクラウドプラットフォームからの資産の追加

    AWS、Azure、Huawei Cloud、Tencent Cloud、Volcano Engine などのプラットフォームからサードパーティのクラウドサービスを Security Center に追加し、統合された構成スキャンとリスク管理を行います。

    ステップ 1: アクセス認証情報の作成

    サードパーティクラウドプラットフォームで、読み取り専用権限を持つアクセス認証情報を作成します。次の表は、各プラットフォームで必要な認証情報をまとめたものです:

    プラットフォーム

    認証情報タイプ

    必要な情報

    AWS

    AccessKey ペア

    Access Key ID、Secret Access Key

    Huawei Cloud

    AccessKey ペア

    Access Key ID、Secret Access Key

    Tencent Cloud

    API キー

    SecretId、SecretKey

    Azure

    アプリケーション登録

    アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、クライアントシークレットの値

    Volcano Engine

    AccessKey ペア

    Access Key ID、Secret Access Key

    AWS

    1. IAM ユーザーを作成し、権限を付与する

      1. AWS IAM コンソールにログインします。

      2. 新しい IAM ユーザーを作成します。

      3. ReadOnlyAccessIAMReadOnlyAccess のシステムポリシーをアタッチします。

    2. AccessKey ペアを作成して記録する

      1. 新しいユーザーの AccessKey ペアを生成します。

      2. Access Key IDSecret Access Key を記録します。

    Huawei Cloud

    1. User Group

      1. Huawei Cloud コンソールにログインします。

      2. User Group ページに移動します。

      3. 新しいユーザーグループを作成します。

      4. Tenant GuestIAM ReadOnlyAccess のシステムポリシーをアタッチします。

    2. ユーザーを作成し、AccessKey ペアを記録する

      1. 新しい IAM ユーザーを作成します。

      2. 前のステップで作成したユーザーグループにユーザーを追加します。

      3. ユーザーの AccessKey ペアを作成します。

      4. Access Key IDSecret Access Key を記録します。

    Tencent Cloud

    1. サブアカウントを作成し、権限を付与する

      1. Tencent Cloud コンソールにログインします。

      2. [ユーザーリスト] ページに移動します。

      3. 新しいサブアカウントを作成します。

      4. CloudResourceReadOnlyAccessQcloudCamReadOnlyAccess のシステムポリシーを付与します。

    2. API キーを作成して記録する

      1. サブアカウントの [API キー] 管理ページで、新しい API キーを作成します。

      2. SecretIdSecretKey を記録します。

    Azure

    1. アプリケーションを登録する

      1. Azure ポータルにログインします。

      2. [アプリの登録] サービスに移動します。

      3. 新しいアプリケーションを登録します。

      4. その アプリケーション (クライアント) IDディレクトリ (テナント) ID を記録します。

    2. クライアントシークレットを作成する

      1. 新しいアプリケーションで、[証明書とシークレット] ページに移動します。

      2. 新しいクライアントシークレットを作成します。

      3. その を記録します。

    3. ロールを割り当てる

      1. [サブスクリプション] サービスに移動します。

      2. ご利用のサブスクリプションを選択します。

      3. [アクセス制御 (IAM)] ページで、新しいアプリケーションに Reader ロールを割り当てます。

    Volcano Engine

    1. サブアカウントを作成し、権限を付与する

      1. Volcano Engine コンソールにログインします。

      2. [Users] ページに移動します。

      3. 新しいサブアカウントを作成します。

      4. IAMReadOnlyAccessECSReadOnlyAccess のシステムポリシーをアタッチします。

    2. AccessKey ペアを作成して記録する

      1. ユーザーを作成する際に、[プログラムによるアクセス] を有効にします。

      2. ユーザーが作成された後、Access Key IDSecret Access Key を記録します。

    ステップ 2: Security Center での統合の完了

    1. Security Center コンソールにログインします。

    2. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックします。

    3. マルチクラウドアセット パネルで:

      1. 構成プランを選択します。

      2. 前のステップで取得したアクセス認証情報を対応するフィールドに入力します。

    4. (オプション) 監査ログの構成

      1. CSPM のログ監査機能を使用するには、必要な設定を構成します。

      2. 説明

        サードパーティプラットフォーム上で Kafka サービスが必要です。現在、監査ログの構成は Tencent CloudAWS のみでサポートされています。

    自己管理 K8s クラスターの追加

    構成チェックのために、自己管理 Kubernetes クラスターを Security Center に追加します。

    ステップ 1: クラスターの追加

    Security Center エージェントがクラスターと安全に通信できるように、クラスターに必要な認証とサービスアカウントを作成します。

    1. リスクガバナンス > CSPM ページで、右上の ポリシー管理 をクリックします。

    2. ポリシー管理 パネルで、Configure Container Cluster タブをクリックし、次に Self-built cluster access をクリックします。

      説明

      Ultimate エディションを使用している場合は、アセットセンター > コンテナアセット > Cluster に移動し、Self-built cluster access をクリックすることもできます。

    3. Access Self-built K8s cluster パネルで、K8s アクセスを構成し、Generate Command をクリックします。

    4. クラスターサーバーにログインし、text-001.yaml ファイルを作成し、生成されたコマンドをコピーします。

    5. 次のコマンドを実行します:

    # アクセス構成を適用します。
kubectl apply -f text-001.yaml

    ステップ 2: チェックコンポーネントのインストール

    構成スキャンタスクを実行するために、クラスターにチェックコンポーネントエージェントをデプロイします。

    1. Configure Container Cluster タブのクラスターリストに戻ります。

    2. 追加したばかりのクラスターを見つけます。このクラスターの Component StatusNot Installed です。

    3. 「操作」列で、Component Access をクリックします。

    4. Scan Component Access パネルで、生成されたコマンドをコピーします。

    5. クラスターをホストしているサーバーにログインし、コマンドを deploy.yaml ファイルに貼り付けます。

    6. 次のコマンドを実行します:

      # チェックコンポーネントをデプロイします。
kubectl apply -f deploy.yaml

    7. (オプション) 増分チェックのために Webhook を有効にする:Pod などのクラスターリソースが変更されたときに自動的に増分チェックをトリガーするには、Webhook 機能を有効にします。

      警告

      Webhook 機能は現在、Pod の増分チェックのみをサポートしています。Webhook 機能が正しく構成されていないか、例外が発生した場合、クラスターリソースの作成に影響が出る可能性があります。

      Webhook を有効にするには:

      1. Scan Component Access パネルで、Webhook コマンドをコピーします。

      2. クラスターが配置されているサーバーにログインし、コマンドを webhook.yaml ファイルに貼り付けます。

      3. 次のコマンドを実行します:

        # チェックコンポーネントをデプロイします。
kubectl apply -f webhook.yaml

    ステップ 3: インストールの確認

    1. クラスターサーバーで次のコマンドを実行して、エージェント Pod が実行中かどうかを確認します:

      # <agent-namespace> をエージェントがデプロイされている実際の名前空間に置き換えます。
kubectl get pods -n <agent-namespace>

      <agent-namespace> をエージェントがデプロイされている実際の名前空間に置き換えます。

      説明

      エージェント関連の Pod の期待されるステータスは Running です。

    2. Security Center コンソールで、Configure Container Cluster リストに移動します。

    3. クラスターのリストで、Component Statusオンライン であることを確認します。これは、コンポーネントがインストールされていることを示します。

    資産の同期

    最新のクラウドサービスや構成の更新を取得するために資産を同期します。

    自動同期

    資産を追加する際に自動同期を有効にします (たとえば、マルチクラウド構成の クラウドプロダクトの同期頻度 オプションを設定します)。システムは新しいクラウドサービスや構成の更新を自動的に同期します。

    手動同期

    Security Center コンソールのクラウドプロダクトタブまたはConfigure Container Clusterタブで、最新のアセットの同期をクリックしてアセットを手動で同期します。

    課金

    資産アクセス

    Security Center へのクラウド資産の追加は無料です。

    設定のチェック

    有料の CSPM 機能は、クォータの消費に基づいて課金されます。資産インスタンスに対するスキャン、検証、修正などの操作が成功するたびに、1 クォータが消費されます。

    課金の詳細

    サービスタイプ

    リソースタイプ

    除外

    コンピューティング

    ECS インスタンス、コンテナーインスタンス

    停止中のインスタンス

    ストレージ

    OSS バケット、NAS ファイルシステム

    空のバケット

    データベース

    RDS インスタンス、Redis インスタンス

    ネットワーク

    VPC、SLB インスタンス

    説明

    詳細については、「CSPM の料金」をご参照ください。

    クォータと制限

    機能制限

    機能

    制限

    ログ監査

    Tencent Cloud と AWS のみで利用可能

    K8s アクセス制限

    エディション制限

    サービスタイプ

    必要なエディション

    サブスクリプションサービス

    Ultimate エディションまたは CSPM 付加価値サービス

    従量課金サービス

    Ultimate または CSPM

    リージョン制限

    K8s アクセスは特定のリージョンで利用可能です。最新のリージョンの可用性については、「サポートされているリージョン」をご参照ください。

    サービス制限

    CSPM には以下の制限が適用されます:

    制限タイプ

    最大値

    Security Center インスタンスあたりのサードパーティクラウドのアカウント数

    50

    Security Center インスタンスあたりの K8s クラスター数

    100

    クラウドアカウントあたりの資産数

    10,000

    関連トピック