概要 - Cloud Config - Alibaba Cloud ドキュメントセンター

このトピックでは、アカウントグループの基本的な概念、シナリオ、制限、およびメンバーの変更が Cloud Config に与える影響について説明します。メンバーは、リソースディレクトリまたはアカウントグループに所属できます。

基本的な概念

アカウントグループは、メンバーのコレクションです。リソースディレクトリでは、管理アカウントは、一元的なコンプライアンス管理のために、すべてまたは一部のメンバーをアカウントグループに追加できます。アカウントグループは、複数のメンバーからリソースを収集して形成されるリソースプールでもあります。

管理アカウントは、アカウントグループ内のすべてのメンバーのリソースリスト、リソース詳細、リソース設定履歴、リソースコンプライアンス履歴、およびリンクされたインスタンスを表示できます。管理アカウントは、アカウントグループにルールとコンプライアンスパッケージを作成することもできます。これらのルールとコンプライアンスパッケージは、継続的なコンプライアンス評価のために、アカウントグループ内のすべてのメンバーのリソースに適用されます。

シナリオ

管理アカウントは、リソースディレクトリ内のすべてまたは一部のメンバーをアカウントグループに追加できます。アカウントグループは、Alibaba Cloud アカウント全体のリソースコンプライアンスを管理するために使用できます。これにより、企業は複数のサービスと Alibaba Cloud アカウントのコンプライアンスを管理し、データを包括的に収集できます。

アカウントグループは、次のシナリオで使用できます。

アカウントグループ内のすべてのメンバーのグローバルリソースを表示できます。管理アカウントは、アカウントグループ内のすべてのメンバーのリソースを表示したり、リソースリスト内のリソースをフィルターまたは検索したりできます。管理アカウントは、リソースの詳細と設定変更履歴を表示することもできます。
アカウントグループ内のすべてのメンバーにコンプライアンスベースラインを設定できます。管理アカウントは、アカウントグループにルールとコンプライアンスパッケージを作成できます。これらのルールとコンプライアンスパッケージは、アカウントグループ内のすべてのメンバーのリソースで有効になります。メンバーは、ルールとコンプライアンスパッケージを変更または削除することはできません。これにより、管理アカウントは複数のメンバーに対して統一されたコンプライアンスベースラインを強制的に設定できます。
すべてのメンバーのコンプライアンスチェック結果を表示できます。管理アカウントは、各メンバーのリソースに対するルールのコンプライアンスチェック結果を表示できます。管理アカウントは、複数のメンバーのすべてのリソースに対するルールのコンプライアンスチェック結果を表示することもできます。これにより、複数のサービスとアカウントのコンプライアンス管理を一元化できます。
すべてのメンバーのリソースデータを収集できます。アカウントグループが作成されると、管理アカウントはメンバーの一部の Cloud Config 権限を引き継ぎます。管理アカウントは、アカウントグループ内のすべてのメンバーに対して統一されたデータ配信方法を設定できます。その後、すべてのメンバーのリソース設定履歴が、管理アカウントまたは企業の構成データを保存するために使用されるメンバーに配信されます。
すべてのアカウントのリソースイベントを送信できます。管理アカウントは、すべてのメンバーのリソース変更イベントとリソース非準拠イベントを Simple Message Queue (旧称：MNS) の Topic に送信できます。

説明

Cloud Config for Enterprise を使用している場合、リソースディレクトリのすべてのメンバーを含む新しいアカウントグループがデフォルトで作成されます。既存のルールは引き続き有効です。

制限

アカウントグループには次の制限があります。

リソースディレクトリの管理アカウントのみがアカウントグループを作成できます。管理アカウントは、リソースディレクトリのすべてまたは一部のメンバーをアカウントグループに追加できます。
各管理アカウントは、最大 5 つのアカウントグループを作成できます。各アカウントグループには、最大 200 のメンバーを含めることができます。

リソースディレクトリ内のメンバー変更が Cloud Config に与える影響

次の表に、リソースディレクトリ内のメンバー変更が Cloud Config に与える影響を示します。

項目	影響
リソースディレクトリへのメンバーの追加	Cloud Config のグローバルアカウントグループが影響を受けます。リソースディレクトリに追加されたメンバーは、自動的にグローバルアカウントグループに追加されます。 Cloud Config のカスタムアカウントグループは影響を受けません。リソースディレクトリに追加されたメンバーは、自動的にカスタムアカウントグループに追加されません。管理アカウントを使用してメンバーを手動で追加する必要があります。
メンバーが所属するリソースディレクトリの変更	Cloud Config は影響を受けません。Cloud Config は操作を実行しません。
リソースディレクトリからのメンバーの削除	Cloud Config は影響を受けます。リソースディレクトリからメンバーを削除すると、管理アカウントはそのメンバーに対する管理権限を失います。その後、メンバーはすべてのアカウントグループから自動的に削除されます。

アカウントグループ内のメンバー変更が Cloud Config に与える影響

次の表に、アカウントグループ内のメンバー変更が Cloud Config に与える影響を示します。

項目	影響
メンバーをどのアカウントグループにも追加しない	メンバーは、独立した Alibaba Cloud アカウントとして Cloud Config を使用します。
アカウントグループへのメンバーの追加	メンバーアカウントに対して Cloud Config のサービスリンクロールが作成されていない場合、そのロールは自動的に作成されます。メンバーアカウントの既存のルールとコンプライアンスパッケージは保持されます。メンバーアカウントに設定されているリソースデータの配信方法とリソースイベントの通知方法は自動的にクリアされます。メンバーアカウントの設定権限は削除されます。メンバーアカウントは、管理アカウントの設定に従う必要があります。 [概要]、[リソース]、[コンプライアンスパッケージ]、および [ルール] ページで、メンバーアカウントは [現在のアカウント] タブとアカウントグループのタブを表示できます。メンバーアカウントは、自身のリソース、およびアカウントグループで管理アカウントによって作成されたルールとコンプライアンスパッケージを表示できます。メンバーアカウントは、ルールとコンプライアンスパッケージを変更できません。メンバーアカウントがルールとコンプライアンスパッケージの詳細を表示すると、自身のリソースのみが表示されます。アカウントグループ内の既存のルールとコンプライアンスパッケージは、メンバーアカウントで自動的に有効になります。
アカウントグループからのメンバーの削除	[概要]、[リソース]、[コンプライアンスパッケージ]、および [ルール] ページで、メンバーアカウントは [現在のアカウント] タブとアカウントグループのタブを表示できなくなります。アカウントグループの既存のルールとコンプライアンスパッケージは、メンバーアカウントでは有効にならなくなります。メンバーアカウントの Cloud Config のサービスリンクロールは保持されます。メンバーアカウントによって作成されたルールとコンプライアンスパッケージは保持されます。メンバーアカウントに設定されているリソースデータの配信方法とリソースイベントの通知方法は自動的にクリアされます。メンバーアカウントは、リソースデータの配信方法とリソースイベントの通知方法を再設定する権限を再度取得します。メンバーアカウントは、独立した Alibaba Cloud アカウントとして Cloud Config を使用し、管理アカウントによる管理は行われなくなります。