Cloud Firewallを使用すると、Alibaba Cloud resource directoryの信頼できるサービスに基づいて、リソースディレクトリ内の複数のAlibaba Cloudアカウントを管理できます。 リソースディレクトリ内の各Alibaba Cloudアカウントはメンバーです。 メンバーを委任管理者アカウントとして指定して、リソースディレクトリ内のすべてのメンバーのリソースにアクセスできます。 これにより、インターネットに接続されたアセットやアカウント内の仮想プライベートクラウド (VPC) に対して、さまざまな操作を集中的に実行できます。 操作には、トラフィックのリダイレクトと保護、ポリシー構成、トラフィック分析、侵入防止、攻撃防止、違反認識、ログ監査、およびログ分析が含まれます。 このトピックでは、マルチアカウント管理機能の使用方法について説明します。
背景情報
ビジネスをクラウドに移行する企業が増えています。 企業が多数のクラウドリソースを購入すると、リソース、プロジェクト、人員、および権限の管理が複雑になる可能性があります。 単一のアカウントを使用して要件を満たすことはできません。 この場合、ビジネスをクラウドに移行するには、マルチアカウントシステムが必要です。 エンタープライズユーザーには、複数のアカウントにまたがるクラウドリソースの集中管理が必要です。 クラウドリソースには、セキュリティ、コンプライアンス監査、ネットワーク、およびO&M製品が含まれます。
次の表に、アカウントに関する情報を示します。 マルチアカウント管理を使用する前に、情報を読むことを推奨します。
アカウントタイプ | 説明 | リソースディレクトリ側の権限 | クラウドファイアウォール側の権限 |
管理アカウント | 管理アカウントを使用して、リソースディレクトリに属していないAlibaba Cloudアカウントをリソースディレクトリに招待し、集中管理を行うことができます。 | アカウントは、企業のすべての資産を管理するために使用できます。 | このアカウントは、Cloud Firewallによって保護されているすべてのアセットを管理するために使用できます。 |
委任管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼済みサービスの代理管理者アカウントに指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定された後、そのメンバーを使用して、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 説明 代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 | アカウントは、企業のすべての資産を管理するために使用できます。 | このアカウントは、Cloud Firewallによって保護されているすべてのアセットを管理するために使用できます。 |
メンバー | リソースディレクトリの管理アカウントによってリソースディレクトリに参加するようにアカウントが招待された後、アカウントはリソースディレクトリのメンバーになります。 | メンバーは、メンバーに属するアセットのみを管理するために使用できます。 | メンバーはCloud Firewallの購入には使用できません。 |
制限事項
サブスクリプション課金方法を使用する各エディションのCloud Firewallでマルチアカウント管理に提供されるクォータの詳細については、「サブスクリプション」をご参照ください。
この機能を使用すると、インターネットファイアウォール、VPCファイアウォール、NATファイアウォール、およびセキュアなフォワードプロキシによって保護されているアセットのメンバーのリソースのみを管理できます。
集中管理のために追加されたメンバーは、Cloud Firewallの購入には使用できません。 メンバーのアセットトラフィックも集中的に管理されます。
前提条件
従量課金の課金方法を使用するCloud Firewall Premium Edition、Enterprise Edition、Ultimate Edition、またはCloud Firewallが購入されます。
手順
この機能を使用する前に、リソースディレクトリを有効にし、委任された管理者アカウントを指定し、メンバーを招待する必要があります。 次に、この機能を使用して、集中管理のために複数のメンバーを追加できます。
ステップ 1:リソースディレクトリの有効化
リソースディレクトリを有効にするには、エンタープライズ実名検証に合格したAlibaba Cloudアカウントを使用する必要があります。 個人の実名登録のみを完了したアカウントでは、リソースディレクトリを有効化できません。 リソースディレクトリを有効にするには、2つの方法があります。 リソースディレクトリを有効にした後に取得する管理アカウントは、使用する方法によって異なります。 詳細については、「リソースディレクトリの有効化」をご参照ください。
ステップ2: メンバーを招待する
Alibaba Cloudアカウントがリソースディレクトリに参加するよう招待されると、アカウントはリソースディレクトリのメンバーになります。 招待されたメンバーを委任管理者アカウントとして指定できます。 詳細については、「Alibaba Cloudアカウントをリソースディレクトリに参加させる」をご参照ください。
招待するアカウントがない場合は、直接メンバーを作成できます。 詳細については、「メンバーの作成」をご参照ください。
ステップ3: 委任された管理者アカウントを追加する
代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満たすことができます。 委任された管理者アカウントを追加および使用して、Cloud Firewallコンソールのマルチアカウント管理ページにアクセスし、リソースディレクトリ内で管理操作を実行できます。 詳細については、「委任管理者アカウントの管理」をご参照ください。
ステップ4: メンバーの追加
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、を選択します。
マルチアカウント管理ページで、メンバーを追加をクリックします。
では、メンバーを追加ダイアログボックスで、[使用可能なメンバー] セクションからメンバーを選択し、選択したメンバーセクションにアクセスします。
では、選択したメンバーセクションで、必要なメンバーを選択し、OKをクリックします。
複数のメンバーを追加した後、各アカウントの詳細を表示したり、メンバーリストで追加したメンバーを削除したりできます。 詳細には、各アカウントのUIDと名前が含まれます。 [ファイアウォールの設定] ページで次の操作を実行することもできます。追加されたメンバー内のクラウドアセットを表示し、クラウドアセットの保護を有効または無効にします。
デフォルトでは、Cloud Firewallはメンバーの追加後にそのリソースにアクセスできます。 VPCファイアウォールを使用してCloud Enterprise Network (CEN) インスタンスにアタッチされているVPCを保護し、VPCがCloud firewallの購入に使用したものとは異なるAlibaba Cloudアカウントで作成されている場合は、VPCが属するAlibaba Cloudアカウント内のクラウドリソースへのアクセスをcloud Firewallに手動で許可する必要があります。 詳細については、「Cloud Firewallによる他のクラウドリソースへのアクセス許可」をご参照ください。