建立可信執行個體時如果需要使用阿里雲的可信系統,還需要開通一些許可權以便可信執行個體在啟動時向阿里雲Security Center上報可信資訊。本文介紹如何建立一台使用阿里雲可信系統的可信執行個體。
建立可信執行個體
通過控制台建立
在控制台建立可信執行個體的步驟與建立普通執行個體類似,但需要注意一些特定選項。本步驟重點介紹可信執行個體相關的特定配置,如果您想瞭解其他通用配置,請參見自訂購買執行個體。
訪問ECS控制台-執行個體。
單擊建立執行個體。
在執行個體和鏡像地區,選擇執行個體和鏡像。
執行個體:篩選並選中一款支援vTPM特性的執行個體規格。更多資訊,請參見支援可信計算能力的執行個體規格類型系列。
鏡像:
選中可信系統。
說明選中可信系統即可為執行個體啟用阿里雲可信系統,在執行個體啟動時通過阿里雲可信系統完成可信校正。如果您需要自建可信服務系統,可以跳過該步驟。
根據執行個體規格類型系列選擇支援的鏡像版本。
在頻寬和安全性群組地區,選擇安全性群組。如果出現開通Key Management Service對話方塊,單擊開通。
建立可信執行個體時必須開通KMS,否則會建立失敗。
(條件必選)單擊進階選項,選擇實例 RAM 角色。
若您已選擇可信系統作為執行個體配置,則需為該執行個體設定一個擁有訪問可信服務許可權的RAM角色。阿里雲為您提供了對應的服務角色AliyunECSInstanceForYundunSysTrustRole,建議您按照以下步驟設定並選擇該策略:
說明如果您需要更精確或定製化的配置,請自訂角色並根據需求進行授權。自訂RAM角色時需要注意一些事項,更多資訊,請參見RAM角色許可權注意事項。
單擊先授權。
在彈出的雲資源訪問授權對話方塊,單擊同意授權。
在新視窗中,單擊同意授權。
單擊我已授權。
選擇AliyunECSInstanceForYundunSysTrustRole作為RAM角色。
說明您也可以跳過授權的步驟,在建立執行個體之後再進行授權。具體操作,請參見執行個體RAM角色。
按照頁面提示,完成執行個體的建立。
通過API建立
調用API建立可信執行個體時,請注意:
必須先開通KMS許可權,否則執行個體會建立失敗。具體操作,請參見開通Key Management Service。
如果使用阿里雲可信系統,您需要為可信執行個體設定一個擁有訪問可信服務許可權的RAM角色,以便可信執行個體在啟動時向Security Center上報可信資訊。具體操作,請參見執行個體RAM角色。自訂RAM角色時的注意事項,請參見RAM角色許可權注意事項。
說明如果您自建可信服務系統,則無需設定該RAM角色。
您可以調用RunInstances或CreateInstance建立執行個體,需要注意的參數如下表所示。
參數 | 說明 | 樣本 |
InstanceType | 指定支援vTPM特性的執行個體規格。更多資訊,請參見支援可信計算能力的執行個體規格類型系列。 | ecs.c6t.large |
ImageId | 指定可信執行個體支援的鏡像ID。您可以調用DescribeImages查看鏡像ID。 | aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd |
SystemDisk.Category | 可信執行個體僅支援ESSD雲端硬碟。 | cloud_essd |
VSwitchId | 可信執行個體僅支援VPC,因此必須指定虛擬交換器ID。 | vsw-bp134jzf285qg9u6w**** |
RamRoleName | 指定RAM角色的名稱。您也可以在建立執行個體後調用AttachInstanceRamRole為執行個體授予RAM角色。 | AliyunECSInstanceForYundunSysTrustRole |
UserData | 指定安裝阿里雲可信系統的安裝指令碼(Base64編碼)。 Base64編碼前的明文指令碼內容,請參見安裝阿里雲可信系統的指令碼。 | |
SecurityOptions.TrustedSystemMode | 可信系統模式。當您調用RunInstances建立可信執行個體時,如果InstanceType參數取值為g7t、c7t或者r7t,則需要設定 說明 通過OpenAPI建立可信系統的ECS執行個體時,只能調用RunInstances實現,CreateInstance目前不支援設定可信系統模式參數( | vTPM |
請求樣本:
https://ecs.aliyuncs.com/?Action=RunInstances
&RegionId=cn-hangzhou
&InstanceType=ecs.c6t.large
&ImageId=aliyun_2_1903_x64_20G_secured_alibase_20210325.vhd
&SystemDisk.Category=cloud_essd
&VSwitchId=vsw-bp134jzf285qg9u6w****
&SecurityGroupId=sg-bp1c3o8hzd14dovh****
&RamRoleName=AliyunECSInstanceForYundunSysTrustRole
&UserData=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
&<公用請求參數>正常返回樣本:
XML格式
<RunInstancesResponse> <RequestId>04F0F334-1335-436C-A1D7-6C044FE73368</RequestId> <InstanceIdSets> <InstanceIdSet>i-bp16byi4f3fti5b3****</InstanceIdSet> </InstanceIdSets> </RunInstancesResponse>JSON格式
{ "RequestId": "BB694A51-7860-4B5C-B906-9B4077798672", "InstanceIdSets": { "InstanceIdSet": [ "i-bp16byi4f3fti5b3****" ] } }
RAM角色許可權注意事項
建議您建立包含所需最小許可權的自訂權限原則,並將其添加到RAM角色。權限類別型可以選為可信服務對應的系統策略(AliyunSysTrustFullAccess)或者自訂策略。訪問可信服務的精確策略如下所示:
RAM許可權關乎資訊安全風險,強烈建議您按照實際需要分配最小許可權,不要給予角色過多許可權。更多資訊,請參見什麼是存取控制。
{
"Statement": [
{
"Action": [
"yundun-systrust:GenerateNonce",
"yundun-systrust:GenerateAikcert",
"yundun-systrust:ProduceAikcert",
"yundun-systrust:RegisterMessage",
"yundun-systrust:PutMessage",
"yundun-systrust:QuoteMessage"
],
"Resource": "*",
"Effect": "Allow"
}
],
"Version": "1"
}
安裝阿里雲可信系統的指令碼
#!/bin/sh
CURPATH=`pwd`
SCRIPT_PATH="/download/linux/script/TrustAgentInstall.sh"
TOKEN=`curl -s -X PUT -H "X-aliyun-ecs-metadata-token-ttl-seconds: 5" "http://100.100.100.200/latest/api/token"`
REGION_ID=`curl -s -H "X-aliyun-ecs-metadata-token: $token" http://100.100.100.200/latest/meta-data/region-id`
UPDATE_SITE1=http://trustclient-${REGION_ID}.oss-${REGION_ID}-internal.aliyuncs.com
UPDATE_SITE2=http://trustclient-${REGION_ID}.oss-${REGION_ID}.aliyuncs.com
UPDATE_SITE3=http://t-trustclient-${REGION_ID}.oss-{$REGION_ID}-internal.aliyuncs.com
MSG_INFO="downloading install script from site"
MSG_ERR="download file error."
MSG_OK="trust client init done."
install()
{
echo "${MSG_INFO}"" 1..."
curl -fsSL "${UPDATE_SITE1}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 1
fi
echo "${MSG_INFO}"" 2..."
curl -fsSL "${UPDATE_SITE2}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 2
fi
echo "${MSG_INFO}"" 3..."
curl -fsSL "${UPDATE_SITE3}""${SCRIPT_PATH}"|sh
if [ $? == 0 ]; then
return 3
fi
echo "" 1>&2
exit 1
}
install
echo "${MSG_OK}"
exit 0