Anti-DDoS Originを使用すると、複数のAlibaba Cloudアカウントを所有する企業は、1つのアカウントを使用してインスタンスを購入し、インスタンスを他のアカウントと共有できます。 これは、コストを削減し、包括的な方法で資産を保護するのに役立ちます。 このトピックでは、パブリックIPアドレスが割り当てられているアセットを略してアセットと呼びます。 このトピックでは、マルチアカウント管理機能を使用して、複数のアカウントが1つのインスタンスを共有できるようにする方法について説明します。
サポートされているインスタンスタイプ
Anti-DDoS Origin 2.0 Enterprise (サブスクリプション) およびAnti-DDoS Origin 2.0 (従量課金) インスタンスは、マルチアカウント管理機能をサポートしています。
この機能を使用する場合は、まず承認の申請書を提出する必要があります。 アカウントマネージャーに相談してください。
アカウントタイプ
マルチアカウント管理機能を使用する前に、リソースディレクトリを有効にする必要があります。 リソースディレクトリは、次のアカウントタイプをサポートしています。 リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。
管理アカウント: 管理アカウントは、リソースディレクトリを有効にするために使用されます。 管理アカウントは、リソースディレクトリのスーパー管理者であり、リソースディレクトリとリソースディレクトリ内のフォルダとメンバーに対するすべての権限を持ちます。
委任管理者アカウント: 管理アカウントを使用して、リソースディレクトリ内のメンバーを委任管理者アカウントとして指定できます。 委任された管理者アカウントは、リソースディレクトリに関する組織構造およびメンバー情報へのアクセスを管理アカウントによって許可されます。
メンバー: リソースディレクトリにメンバーを作成するか、既存のAlibaba Cloudアカウントをリソースディレクトリに招待します。
管理アカウントまたは委任管理者アカウントのAnti-DDoS Originインスタンスを使用して、メンバーのアセットを保護できます。 ただし、管理アカウントを使用してリソースディレクトリの組織管理タスクを実行し、委任された管理者アカウントを使用して業務管理タスクを実行することをお勧めします。 このように、組織管理タスクはビジネス管理タスクから分離されます。 これにより、管理の柔軟性と効率が向上します。
リソースディレクトリを有効にした後、Traffic Securityコンソールでメンバーを管理アカウントまたは委任された管理者アカウントに関連付ける必要があります。 このようにして、Anti-DDoS Originはメンバーの資産を保護できます。
メンバーは、管理アカウントと委任された管理者アカウントのいずれかにのみ関連付けることができます。
管理アカウントのAnti-DDoS Originインスタンスは、管理アカウントに関連付けられているメンバーのアセットのみを保護できます。 委任された管理者アカウントのAnti-DDoS Originインスタンスは、委任された管理者アカウントに関連付けられているメンバーのアセットのみを保護できます。
使用上の注意
管理アカウント、委任された管理者アカウント、およびメンバーは、同じリソースディレクトリに属し、同じエンタープライズの実名検証に合格する必要があります。
メンバーは、Anti-DDoS Originインスタンスを購入することもできます。 ただし、保護のためにアセットを追加できるのは、1つのAnti-DDoS Originインスタンスのみです。
たとえば、メンバーのアセットが保護のためにメンバーのAnti-DDoS Originインスタンスに追加され、委任された管理者アカウントのAnti-DDoS Originインスタンスを使用してすべてのアセットを保護する場合は、まずメンバーのAnti-DDoS Originインスタンスからアセットを削除する必要があります。
トラフィックセキュリティコンソールで管理アカウントまたは委任された管理者アカウントを使用してメンバーの関連付けを解除すると、メンバーの保護されたアセットは自動的に削除され、管理アカウントまたは委任された管理者アカウントのAnti-DDoS Originインスタンスはメンバーのアセットを保護しなくなります。
課金
管理アカウントまたは委任管理者アカウントのAnti-DDoS Originインスタンスを使用してメンバーのアセットを保護する場合、Anti-DDoS Originインスタンスのタイプに基づいて課金されます。
Anti-DDoS Origin 2.0 Enterprise (サブスクリプション) インスタンス: メンバーに対して追加料金は発生しません。
Anti-DDoSオリジン2.0 (従量課金) インスタンス: 料金が生成され、管理アカウントまたは委任された管理者アカウントの残高から差し引かれます。
メンバーのアセットに関する情報の表示
次の表では、管理アカウントまたは委任された管理者アカウントのAnti-DDoS Originインスタンスを使用してアセットを保護する場合に、メンバーのアセットに関する統計を各タイプのアカウントのコンソールのページに含めるかどうかを説明します。
×: 資産に関する統計が含まれていないことを示します。
√: アセットに関する統計が含まれていることを示します。
コンソールページ | 管理アカウントまたは委任管理者アカウント | メンバー |
概要 | × | √ |
アセット | × | √ |
イベントセンター | × | × |
ビジネスモニタリング | √ | × |
保護されたオブジェクト | √ | × |
軽減設定 | √ | × |
攻撃分析 | √ | × |
緩和ログ | √ | × |
CloudMonitorアラート | √ | × |
課金管理 | √ | × |
次の手順では、管理アカウントを使用してリソースディレクトリの組織管理タスクを実行し、委任された管理者アカウントを使用して業務管理タスクを実行します。 委任管理者アカウントが設定されていない場合、管理アカウントを使用して、次の手順でビジネス管理タスクを実行できます。
手順1: リソースディレクトリを有効にして、企業の組織構造を構築する
マルチアカウント管理機能を使用する前に、リソースディレクトリに複数のAlibaba Cloudアカウントを追加する必要があります。
Alibaba CloudアカウントでResource Managementコンソールにログインし、リソースディレクトリを有効にします。 使用するAlibaba Cloudアカウントは、リソースディレクトリの管理アカウントです。 詳細については、「リソースディレクトリの有効化」をご参照ください。
Resource Management コンソールで、企業の組織構造を構築します。 リソースディレクトリにメンバーを作成するか、または既存の Alibaba Cloud アカウントをリソースディレクトリに招待できます。
詳細については、「フォルダーの作成」、「メンバーの作成」、および「Alibaba Cloudアカウントにリソースディレクトリへの参加を依頼する」をご参照ください。
リソース管理コンソールで、管理アカウントを使用して、メンバーを委任管理者アカウントとして指定します。 詳細については、「委任管理者アカウントの管理」をご参照ください。
手順2: メンバーを委任管理者アカウントに関連付ける
メンバーのアセットを表示するには、メンバーを委任された管理者アカウントに関連付ける必要があります。
委任された管理者アカウントでTraffic Securityコンソールにログインします。
左側のナビゲーションウィンドウで、 .
メンバーアカウントの追加 をクリックします。 表示されるメッセージで、プロンプトを読み、次へ をクリックします。
重要メンバーが追加されると、委任された管理者アカウントはメンバーのアセットにアクセスして照会できます。
追加するメンバーを選択し、アイコンをクリックして、[OK] をクリックします。
メンバーの追加後、委任された管理者アカウントのAnti-DDoS Originインスタンスを使用して、メンバーのアセットを保護できます。
手順3: 委任された管理者アカウントのAnti-DDoS Originインスタンスを使用してメンバーのアセットを保護する
メンバーのアセットの保護を有効にするには、委任された管理者アカウントのAnti-DDoS Originインスタンスにアセットを追加して保護する必要があります。
委任された管理者アカウントがAnti-DDoSオリジン2.0 (従量課金) インスタンスを使用しており、追加するアセットがAnti-DDoS (拡張) が有効なelastic IPアドレス (EIP) である場合は、この手順をスキップしてください。 このシナリオでは、メンバーのAnti-DDoS (拡張) が有効になっているEIPが、委任された管理者アカウントのAnti-DDoS Originインスタンスに自動的に追加されます。
ただし、メンバーを委任された管理者アカウントに関連付ける前に、メンバーがAnti-DDoS (拡張) を有効にしてEIPを購入した場合、EIPは委任された管理者アカウントのAnti-DDoS Originインスタンスに自動的に追加されません。 保護のために委任された管理者アカウントのAnti-DDoS Originインスタンスを使用する場合は、メンバーを使用して次の操作を実行できます。Anti-DDoS (拡張) を有効にしてEIPをリリースし、Anti-DDoS Origin (従量課金) インスタンスをリリースしてから、Anti-DDoS (拡張) を有効にしてEIPを購入します。
委任された管理者アカウントでTraffic Securityコンソールにログインします。
左側のナビゲーションウィンドウで、 .
管理するAnti-DDoS Originインスタンスを選択し、保護対象の追加 をクリックし、メンバーアカウントの資産追加 タブをクリックします。
ステップ4: メンバーのアセットの軽減ポリシーの設定
保護のためにメンバーのアセットを追加した後、保護テンプレート 列に デフォルト が表示された場合、Anti-DDoS Originのデフォルトの軽減機能がアセットに対して提供されます。
ビジネス要件に基づいて特定の特性を持つサービストラフィックを許可または破棄する場合は、委任された管理者アカウントを使用してトラフィックセキュリティコンソールにログインし、アセットにカスタム軽減ポリシーをアタッチできます。 詳細については、「軽減設定機能の使用」をご参照ください。
ステップ5: メンバーのアセットに対する攻撃イベントの表示
委任された管理者アカウントでTraffic Securityコンソールにログインします。
左側のナビゲーションウィンドウで、 .
アタック分析 ページで、アカウントスコープを選択して、攻撃イベントの詳細を表示します。
すべてのアカウント: 管理アカウントとメンバーに属するアセットの攻撃イベントを表示できます。
委任管理者アカウント: 委任管理者アカウントに属するアセットの攻撃イベントを表示できます。
メンバー: メンバーに属するアセットの攻撃イベントを表示できます。