すべてのプロダクト
Search

このプロダクト

    Data Security Center:複数アカウント管理機能を使用する

    ドキュメントセンター

    Data Security Center:複数アカウント管理機能を使用する

    最終更新日:Jan 10, 2025

    Data Security Center (DSC) は、複数アカウント管理機能を提供します。この機能を使用すると、複数 Alibaba Cloud アカウントのデータ資産、データオブジェクト、および監証ログを一元管理できます。このようにして、機密データの自動識別、データ分類、潜在的なセキュリティ脅威の監視とアラートなど、データセキュリティ管理タスクを効率的に実行できます。このトピックでは、複数アカウント管理機能の使用方法について説明します。

    用語

    DSC を使用して複数 Alibaba Cloud アカウントのデータ資産を一元管理する前に、以下の用語を理解する必要があります。

    用語

    説明

    サービス

    管理アカウント

    管理アカウントとは、企業実名認証に合格した Alibaba Cloud アカウントです。この Alibaba Cloud アカウントを使用してリソースディレクトリを有効化すると、アカウントはリソースディレクトリの管理アカウントになります。管理アカウントは、リソースディレクトリのスーパー管理者です。リソースディレクトリ、およびリソースディレクトリ内のフォルダとメンバーに対するすべての管理権限を持ちます。各リソースディレクトリには、管理アカウントが 1 つだけあります。

    管理アカウントのセキュリティを確保するために、以下の操作を実行することをお勧めします。

    • リソースのない Alibaba Cloud アカウントを管理アカウントとして使用して、リソースディレクトリを有効化します。

    • 管理アカウントの Resource Access Management (RAM) ユーザーを作成し、AliyunResourceDirectoryFullAccess ポリシーを RAM ユーザーにアタッチします。次に、RAM ユーザーを使用してリソースディレクトリを管理します。

    説明

    管理アカウントはリソースディレクトリに属しておらず、リソースディレクトリのアクセス制御ポリシーによる制限を受けません。

    リソース管理

    ルートフォルダ

    ルートフォルダは、リソースディレクトリ内の他のすべてのフォルダの親フォルダです。これらのフォルダは、ルートフォルダから始まる階層構造で編成されています。

    フォルダ

    フォルダは、リソースディレクトリ内の組織単位です。フォルダは、企業の支店、事業部門、またはプロジェクトを示す場合があります。各フォルダには、メンバーとサブフォルダを含めることができ、ツリー型の組織構造を形成します。

    メンバー

    メンバーは、リソースアカウントまたはクラウドアカウントです。リソースディレクトリで作成されたメンバーはリソースアカウントです。リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを他のリソースから分離するために使用されます。既存 Alibaba Cloud アカウントをリソースディレクトリに参加するように招待できます。Alibaba Cloud アカウントの所有者が招待を受け入れると、アカウントはリソースディレクトリのメンバーになります。これらのメンバーはクラウドアカウントです。

    委任管理者アカウント

    リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、DSC などの信頼できるサービスの委任管理者アカウントとして指定できます。メンバーが信頼できるサービスの委任管理者アカウントとして指定されると、そのメンバーを使用して、信頼できるサービスのリソースディレクトリに関する情報にアクセスできます。情報には、リソースディレクトリの構造とメンバーが含まれます。メンバーを使用して、リソースディレクトリ内のビジネスを管理することもできます。

    DSC のメンバー

    委任管理者アカウントは、リソースディレクトリ内のメンバーを DSC のメンバーとして構成できます。その後、委任管理者アカウントは、DSC 内のメンバーのクラウド リソースにアクセスできます。

    DSC

    制限事項

    DSC の有料版のみが複数アカウント管理機能をサポートしています。

    以下のプロセスを参照して、複数アカウントシステムを構築し、DSC の委任管理者アカウントを使用して複数 Alibaba Cloud アカウントのデータ資産を管理できます。

    シナリオ: Alibaba Cloud アカウント A、B、C、D、および E は同じリソースディレクトリに属しています。Alibaba Cloud アカウント A はリソースディレクトリの管理アカウントであり、他のアカウントはリソースディレクトリのメンバーです。Alibaba Cloud アカウント A は、Alibaba Cloud アカウント B を DSC の委任管理者アカウントとして指定します。Alibaba Cloud アカウント B は、Alibaba Cloud アカウント B、C、D、および E のデータ資産を一元管理し、機密データ保護、ベースラインチェック、データ監査、データマスキングなどの DSC の機能を使用できます。Alibaba Cloud アカウント B の RAM ユーザーを使用して、DSC 内で承認された Alibaba Cloud アカウント D と E のみのデータ資産を管理できます。

    使用上の注意

    カテゴリ

    説明

    複数アカウント検証

    複数アカウント管理機能を使用する Alibaba Cloud アカウントと管理対象 Alibaba Cloud アカウントは、同じリソースディレクトリ内にあり、同じ企業エンティティに属している必要があります。企業エンティティは、企業実名認証に合格している必要があります。

    DSC の購入

    • 委任管理者アカウントとして指定されたメンバーを使用して、DSC を購入します。

      管理アカウントを使用して、メンバーを信頼できるサービス DSC の委任管理者アカウントとして指定する必要があります。その後、委任管理者アカウントを使用して、管理する Alibaba Cloud アカウントを DSC コンソールで DSC のメンバーとして追加できます。管理する Alibaba Cloud アカウントが DCS を購入していないことを確認してください。この委任管理者アカウントは、メンバーのデータ資産を一元管理できます。

      詳細については、「ステップ 1: DSC の委任管理者アカウントを構成する」および「ステップ 2: DSC にメンバーを追加する」をご参照ください。

    • DSC を購入したメンバーは、DSC のメンバーとして追加できません。DSC のメンバーとして追加された Alibaba Cloud アカウントは、DSC を購入または使用できません。

    レベル別メンバー管理

    委任管理者アカウントは、すべてのメンバーを一元管理し、RAM ユーザーを作成してき細かい権限を構成できます。委任管理者アカウントは、RAM ユーザーを使用して、リソースディレクトリ内のフォルダのリソースディレクトリパスに基づいて、レベル別にメンバーを管理できます。

    詳細については、「RAM ユーザーにメンバーの管理を承認する」をご参照ください。

    機能の使用

    • DSC のメンバーに追加されたデータ資産は、トラフィック収集 (エージェント) モードをサポートしていません。

    • DSC 内のメンバー AnalyticDB for PostgreSQL 資産は、DSC が提供する機能をサポートしていません。

    メンバー料金

    メンバーの資産に対してデータ識別およびセキュリティ監査機能が有効になっている場合、メンバーは特定データベースサービスのデータの読み取りと監査ログの保存に対する料金を支払います。詳細については、「DSC に接続されたデータベース資産の追加料金」をご参照ください。

    前提条件

    • リソースディレクトリが有効になっています。詳細については、「リソースディレクトリを有効にする」をご参照ください。

    • リソースディレクトリにメンバーが作成されているか、既存 Alibaba Cloud アカウントがリソースディレクトリに参加するように招待されています。詳細については、「メンバーを作成する」および「Alibaba Cloud アカウントをリソースディレクトリに参加するように招待する」をご参照ください。

      RAM ユーザーを使用してリソースフォルダ別にメンバーを管理する場合は、最初にリソースフォルダを作成し、次にリソースフォルダに Alibaba Cloud アカウントを作成するか、Alibaba Cloud アカウントをリソースフォルダに参加するように招待する必要があります。詳細については、「フォルダを作成する」をご参照ください。

    • 委任管理者アカウントが DSC の有料版を購入しています。詳細については、「DSC を購入する」をご参照ください。

    ステップ 1: DSC の委任管理者アカウントを構成する

    リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼できるサービスの委任管理者アカウントとして指定できます。メンバーが信頼できるサービスの委任管理者アカウントとして指定されると、そのメンバーを使用して、信頼できるサービスのリソースディレクトリに関する情報にアクセスできます。情報には、リソースディレクトリの構造とメンバーが含まれます。メンバーを使用して、リソースディレクトリ内のビジネスを管理することもできます。

    1. リソースディレクトリの管理アカウントを使用して、リソース管理コンソール にログオンします。

    2. 左側のナビゲーションペインで、[リソースディレクトリ] > [信頼できるサービス] を選択します。

    3. [信頼できるサービス] ページで、[data Security Center (DSC)] を見つけ、[アクション] 列の [管理] をクリックします。

    4. 表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。

    5. [委任管理者アカウント] セクションで、[追加] をクリックします。[委任管理者アカウントの追加] パネルで、DSC の購入に使用する Alibaba Cloud アカウントを委任管理者アカウントとして指定し、[OK] をクリックします。

      委任管理者アカウントが指定されると、委任管理者アカウントを使用して DSC の複数アカウント管理機能を使用できます。

    ステップ 2: DSC にメンバーを追加する

    RAM ユーザーに特定のメンバーの管理を承認する

    説明

    委任管理者アカウントを使用して DSC にメンバーを追加する場合は、このステップをスキップしてください。

    1. 委任管理者アカウントを使用して RAM コンソール にログオンし、RAM ユーザーを作成します。詳細については、「RAM ユーザーを作成する」をご参照ください。

    2. カスタムポリシーを作成して、RAM ユーザーに特定のメンバーを管理する権限を与えます。

      1. RAM コンソール の左側のナビゲーションペインで、[権限] > [ポリシー] を選択します。

      2. [ポリシー] ページで、[ポリシーの作成] をクリックします。

      3. [ポリシーの作成] ページで、[JSON] タブをクリックします。

      4. カスタムポリシーの内容を入力します。

        次のポリシーの内容をコピーし、Condition 要素を構成します。RAM ユーザーは、DSC コンソールの 複数アカウント管理 ページでメンバーを追加 (yundun-sddp:AddMultiAccountMembers) または削除 (yundun-sddp:DeleteMultiAccountMembers) できます。

        RAM ポリシーの構文と構造の詳細については、「ポリシーの構造と構文」をご参照ください。

        RAM ユーザーに特定のメンバーの管理を承認する

        ConditionStringNotEqualsacs:RDManageScope パラメータを、リソースディレクトリ ページのリソースディレクトリ内の必要なフォルダのリソースディレクトリパス (RDPath) にメンバーの UID を加えたものに設定します。

        image

        { // 特定のメンバーを管理するために RAM ユーザーを承認する
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/163XXXXXX1494597" // フォルダの RDPath + メンバーの UID
                    ]
                }
            }
        }
    ]
}

        RAM ユーザーに特定のフォルダのメンバーの管理を承認する

        ConditionStringNotLikeacs:RDManageScope パラメータを、リソースディレクトリ ページのリソースディレクトリ内の必要なフォルダのリソースディレクトリパス (RDPath) に /* を加えたものに設定します。

        image

        { // 特定のフォルダのメンバーを管理するために RAM ユーザーを承認する
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotLike": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/fd-BrXXXXXXM4/*" // フォルダの RDPath + /*
                    ]
                }
            }
        }
    ]
}

      5. [OK] をクリックします。

      6. [ポリシーの作成] ダイアログボックスで、[名前] パラメータと [説明] パラメータを構成し、[OK] をクリックします。

      7. [権限の付与] をクリックします。

      8. [権限の付与] ページで、RAM ユーザーを検索して選択し、RAM ユーザーのために作成したカスタムポリシーを選択して、[権限の付与] をクリックします。次に、[閉じる] をクリックします。

    メンバーを追加する

    1. 委任管理者アカウントまたは委任管理者アカウントによって承認された RAM ユーザーを使用して、DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、Multi-account Management をクリックします。

    3. 複数アカウント管理機能を初めて使用する場合は、Enable Multi-account Management をクリックします。

      この操作により、信頼できるサービス DSC のステータスが [有効] に更新されます。

    4. Add Member をクリックします。

    5. Add Member ダイアログボックスで、管理するメンバーを選択し、OK をクリックします。

      メンバーが RAM ユーザーのポリシースコープ外にある場合、システムは権限なしメッセージを返します。

    ステップ 3: メンバーの資産を管理する

    委任管理者アカウントまたは委任管理者アカウントによって承認された RAM ユーザーは、メンバーが DSC コンソールに追加された後、アカウントとアカウントのメンバーのデータ資産を管理できます。次のセクションでは、[資産の承認] ページでメンバーの資産を管理する方法について説明します。

    説明

    Overview ページなど、特定のページで UID を使用して資産を管理することはできません。DSC コンソールの情報が優先されます。

    1. DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、Asset Center をクリックします。

    3. Authorization Management タブで、UID を使用して Alibaba Cloud アカウント内の資産を管理します。

      image

    DSC 内のメンバーを削除する

    メンバーのすべての資産を管理する必要がなくなった場合は、メンバーを削除できます。メンバーを削除すると、DSC コンソール内のメンバーのすべてのデータが自動的に削除されます。

    1. DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、Asset Center をクリックします。

    3. 削除するメンバーから権限を取り消します。詳細については、「資産から権限を取り消す」をご参照ください。

    4. 左側のナビゲーションペインで、[システム設定] > [複数アカウント管理] を選択します。

    5. Multi-account Management ページで、削除するメンバーを見つけて、[アクション] 列の Delete をクリックします。

      委任管理者アカウントによって承認された RAM ユーザーを使用して、RAM ユーザーのポリシースコープ外にあるメンバーを削除すると、システムは権限なしメッセージで応答します。

    6. [削除] メッセージで、Delete をクリックします。

    FAQ

    企業内の複数 Alibaba Cloud アカウントに対して DSC を購入した場合、1 つのアカウントを一元管理にどのように使用しますか?

    別のアカウントを使用して、DSC を購入したメンバーを管理することはできません。別のアカウントからメンバーのリソースを管理する場合は、メンバーの DSC の登録を解除し、管理アカウントまたは委任管理者アカウントを使用して、メンバーを DSC のメンバーとして追加する必要があります。

    詳細については、「払い戻しポリシー」をご参照ください。

    現在のアカウントで DSC を有効化できない場合はどうすればよいですか?

    DSC コンソールにアクセスしたときに、現在のアカウントを使用して DSC を有効化できないことを示すメッセージが表示された場合、管理アカウントまたは委任管理者アカウントがこのアカウントをメンバーとして DSC に追加したため、このアカウントを使用して DSC を使用することはできません。この場合、次のいずれかの方法で DSC を使用できます。

    • 方法 1: リソースディレクトリの管理アカウントまたは委任管理者アカウントを使用して DSC コンソールにログオンし、複数アカウント管理機能を使用して現在のアカウントのリソースを DSC に追加します。

    • 方法 2: リソースディレクトリの管理アカウントまたは委任管理者アカウントに連絡して、DSC コンソールの 複数アカウント管理 ページで現在のアカウントを削除します。次に、現在のアカウントを使用して DSC を購入して使用します。

    関連情報