全部產品
Search
文件中心

Elastic Compute Service:建立可信執行個體

更新時間:Aug 08, 2024

建立可信執行個體時如果需要使用阿里雲的可信系統,還需要開通一些許可權以便可信執行個體在啟動時向阿里雲Security Center上報可信資訊。本文介紹如何建立一台使用阿里雲可信系統的可信執行個體。

建立可信執行個體

通過控制台建立

在控制台建立可信執行個體的步驟與建立普通執行個體類似,但需要注意一些特定選項。本步驟重點介紹可信執行個體相關的特定配置,如果您想瞭解其他通用配置,請參見自訂購買執行個體

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

  3. 單擊建立執行個體

  4. 在執行個體和鏡像地區,選擇執行個體和鏡像。

    • 執行個體:篩選並選中一款支援vTPM特性的執行個體規格。更多資訊,請參見支援可信計算能力的執行個體規格類型系列

    • 鏡像

      1. 根據執行個體規格類型系列選擇支援的鏡像版本。

      2. (可選)選中可信系統

        說明

        選中可信系統即可為執行個體啟用阿里雲可信系統,在執行個體啟動時通過阿里雲可信系統完成可信校正。如果您需要自建可信服務系統,可以跳過該步驟。

  5. 在頻寬和安全性群組地區,選擇安全性群組。如果出現開通Key Management Service對話方塊,單擊開通

    建立可信執行個體時必須開通KMS,否則會建立失敗。如果您已經開通了KMS,則不會出現該對話方塊,請繼續完成網路和安全性群組的配置。

  6. (條件必選)單擊進階選項,選擇實例 RAM 角色

    如果您為執行個體選中了可信系統,則需要為執行個體設定一個RAM角色,該RAM角色必須擁有訪問可信服務的許可權。阿里雲為您提供了對應的服務角色AliyunECSInstanceForYundunSysTrustRole,建議您按照以下步驟設定並選擇該策略:

    說明

    如果您需要更精確或定製化的配置,請自訂角色並根據需求進行授權。自訂RAM角色時需要注意一些事項,更多資訊,請參見RAM角色許可權注意事項

    1. 單擊先授權

      image.png

    2. 在彈出的雲資源訪問授權對話方塊,單擊同意授權

    3. 在新視窗中,單擊同意授權

    4. 單擊我已授權

      已授權確認

    5. 選擇AliyunECSInstanceForYundunSysTrustRole作為RAM角色。

      image.png

      說明

      您也可以跳過授權的步驟,在建立執行個體之後再進行授權。具體操作,請參見通過ECS執行個體RAM角色授權ECS訪問其他雲端服務

  7. 按照頁面提示,完成執行個體的建立。

通過API建立

調用API建立可信執行個體時,請注意:

您可以調用RunInstancesCreateInstance建立執行個體,需要注意的參數如下表所示。

參數

說明

樣本

InstanceType

指定一款支援vTPM特性的執行個體規格。更多資訊,請參見支援可信計算能力的執行個體規格類型系列

ecs.c6t.large

ImageId

指定可信執行個體支援的鏡像ID。您可以調用DescribeImages查看鏡像ID。

aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd

SystemDisk.Category

可信執行個體僅支援ESSD雲端硬碟。

cloud_essd

VSwitchId

可信執行個體僅支援VPC,因此必須指定虛擬交換器ID。

vsw-bp134jzf285qg9u6w****

RamRoleName

指定RAM角色的名稱。您也可以在建立執行個體後調用AttachInstanceRamRole為執行個體授予RAM角色。

AliyunECSInstanceForYundunSysTrustRole

UserData

指定安裝阿里雲可信系統的安裝指令碼,需要為Base64編碼形式。

Base64編碼前的明文指令碼內容,請參見安裝阿里雲可信系統的指令碼

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

SecurityOptions.TrustedSystemMode

可信系統模式。當您調用RunInstances建立可信執行個體時,如果InstanceType參數取值為g7t、c7t或者r7t,則需要設定SecurityOptions.TrustedSystemMode=vTPM

說明

通過OpenAPI建立可信系統的ECS執行個體時,只能調用RunInstances實現,CreateInstance目前不支援設定可信系統模式參數(SecurityOptions.TrustedSystemMode)。

vTPM

請求樣本:

https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210120.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<公用請求參數>

正常返回樣本:

  • XML格式

    <RunInstancesResponse>
          <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId>
          <InstanceIdSets>
                <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet>
          </InstanceIdSets>
    </RunInstancesResponse>
  • JSON格式

    {
        "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672",
        "InstanceIdSets": {
            "InstanceIdSet": [
                "i-bp16byi4f3fti5b3****"
            ]
        }
    }

RAM角色許可權注意事項

建議您建立包含所需最小許可權的自訂權限原則,並為RAM角色添加該策略。您可以將權限類別型選為可信服務對應的系統策略AliyunSysTrustFullAccess),也可以將權限類別型選為自訂策略,以便精確授權。訪問可信服務的精確策略如下所示:

重要

雖然您也可以選擇任意一個許可權較大的系統策略,例如AdministratorAccess。但是,RAM許可權關乎資訊安全風險,強烈建議您按照實際需要分配最小許可權,不要給予角色過多許可權。更多資訊,請參見什麼是存取控制

{
    "Statement": [
        {
            "Action": [
                "yundun-systrust:GenerateNonce",
                "yundun-systrust:GenerateAikcert",
                "yundun-systrust:RegisterMessage",
                "yundun-systrust:PutMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}

自訂策略

安裝阿里雲可信系統的指令碼

#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
REGION_ID=`curl -s --retry 1 --max-time 3 http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."

install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}

install
echo "${MSG_OK}"

exit 0