Resource Management:リソースディレクトリとは

用語

説明

管理アカウント

管理アカウントは、

エンタープライズ検証に合格したAlibaba Cloudアカウントです。 このAlibaba Cloudアカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントは、リソースディレクトリのスーパー管理者です。 リソースディレクトリ、およびリソースディレクトリ内のフォルダーとメンバーに対するすべての管理権限があります。 各リソースディレクトリの管理アカウントは 1 つだけです。

管理アカウントのセキュリティを確保するために、次の操作を実行することを推奨します。

• リソースを持たないAlibaba Cloudアカウントを管理アカウントとして使用して、リソースディレクトリを有効にします。

• 管理アカウントのRAMユーザーを作成し、AliyunResourceDirectoryFullAccessポリシーをRAMユーザーにアタッチします。 次に、RAMユーザーを使用してリソースディレクトリを管理します。

Root フォルダー

Root フォルダーは、リソースディレクトリ内の他のすべてのフォルダーの親フォルダーです。 これらのフォルダーは、Root フォルダーから始まる階層で構成されます。

フォルダー

フォルダーは、リソースディレクトリ内における組織単位です。 フォルダーは、企業の支店、事業部門、またはプロジェクトを表す場合があります。 各フォルダーには、ツリー状の組織構造をなすメンバーとサブフォルダーを含むことができます。

メンバー

メンバーには、リソースアカウントとクラウドアカウントがあります。 リソースディレクトリに作成されるメンバーは、リソースアカウントです。 リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを、他のリソースから分離するために使われます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。

• リソースアカウント

  リソースディレクトリに作成されるメンバーは、リソースアカウントです。 Alibaba Cloudアカウントのルートユーザーは、アカウントの管理者です。 リソースアカウントの root ユーザーは無効になっています。 そのため、リソースアカウントではより高いセキュリティが確保されます。 リソースアカウントの作成方法の詳細については、「メンバーの作成」をご参照ください。

• クラウドアカウント

  リソースディレクトリに作成されるメンバーは、リソースアカウントです。 クラウドアカウントにはルートユーザーが存在します。 Alibaba Cloudアカウントをリソースディレクトリに招待する方法の詳細については、「Alibaba Cloudアカウントをリソースディレクトリに招待する」をご参照ください。

RDPath

RDPathは、リソースディレクトリ内のリソースエンティティ (フォルダーまたはメンバー) の場所を示します。 リソースエンティティのRDPathは、リソースエンティティのID、リソースエンティティのすべての親フォルダのID、およびリソースエンティティが属するリソースディレクトリのIDで構成されます。 RDPathは、次のいずれかの形式です。

• フォルダのRDPath: <フォルダが属するリソースディレクトリのID>/<リソースディレクトリのRootフォルダのID>/.../<フォルダのID>

• メンバーのRDPath: <メンバーが属するリソースディレクトリのID>/<リソースディレクトリのRootフォルダのID>/.../<メンバーのID> 例えば、メンバー181761095690 **** のRDPathは、rd-r4 ****/r-oG ****/fd-RIErN0 ****/fd-XVxh6D ****/181761095690 **** である。

フォルダーまたはメンバーのRDPathを表示する方法については、「フォルダーの基本情報の表示」または「メンバーの詳細情報の表示」をご参照ください。

アクセス制御ポリシー

アクセス制御ポリシーを使用すると、リソースディレクトリ内のフォルダーまたはメンバーのアクセス権限の境界を一元管理できます。 アクセス制御ポリシーは、リソースディレクトリに基づいて実装されます。 アクセス制御ポリシーを使用して、アクセス制御における共通ルールまたは専用ルールを作成できます。 アクセス制御ポリシーはアクセス権限を付与せず、アクセス権限の境界のみを定義します。 リソースディレクトリのメンバーであるアカウントを使用してリソースにアクセスする前に、RAMサービスを使用してアカウントに必要な権限を付与する必要があります。

アクセス制御ポリシーの詳細については、「概要」をご参照ください。

信頼済みサービス

信頼済みサービスとは、リソースディレクトリサービスと連携する Alibaba Cloud サービスを指します。 Alibaba Cloud サービスは、リソースディレクトリと連携することで、関連のリソースディレクトリ内のメンバーやフォルダーなどの情報にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼されたサービスの代理管理者アカウントを使用することで、リソースディレクトリに基づき、信頼されたサービスでビジネスを管理できます。 企業でアクティブ化されたクラウドサービスをより簡単に一元管理できるようになります。 たとえば、Cloud Config を リソースディレクトリと連携し、リソースディレクトリの管理アカウントを使用することで、Cloud Config の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、リソースの構成履歴、コンプライアンス状況が含まれます。 Cloud Config では、リソース設定のコンプライアンスを監視できます。

信頼できるサービスの詳細については、「概要」をご参照ください。

代理管理者アカウント

リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼されたサービスの代理管理者アカウントに指定できます。 信頼済みサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼済みサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満足します。

委任管理者アカウントを追加または削除する方法については、「委任管理者アカウントの管理」をご参照ください。

項目

上限

調整可能

補足

Alibaba Cloud アカウントを使用して作成できるリソースディレクトリの数

1

非該当

リソースディレクトリのメンバーを使用してリソースディレクトリを作成することはできません。

リソースディレクトリ内の Root フォルダーの数

1

非該当

非該当

リソースディレクトリ内のフォルダーの数

100

クォータの申請

Root フォルダーは含まれていません。

フォルダーの階層数

5

非該当

Root フォルダーは含まれていません。

リソースディレクトリ内のメンバーの数

20

クォータの申請

非該当

1 日あたりの有効な招待の数

20

クォータの申請

承諾された招待は含まれていません。

招待の有効期間

14 日間

非該当

非該当

セキュリティの観点から携帯電話番号をメンバーにバインドするとき、1 日あたりで送信できる確認コードの数

100

非該当

非該当

リソースディレクトリに作成可能なカスタムアクセス制御ポリシーの数

1,500

非該当

非該当

各フォルダーやメンバーに付与可能なカスタムアクセス制御ポリシーの数

10

クォータの申請

非該当

各カスタムアクセス制御ポリシーの最大文字数

4,096

非該当

非該当

30暦日ごとに削除できるメンバーの数

最初のメンバー削除タスクが開始された時点から30暦日の期間が開始されます。 各期间で削除できるメンバー数の上限を次に示します。

• Number of members < 100の条件が満たされている場合、最大10人のメンバーを削除できます。

• 100 ≤ メンバー数 ≤ 10,000の条件が満たされた場合、最大10% のメンバーを削除できます。

• Number of members > 10,000条件が満たされた場合、最大1,000人のメンバーを削除できます。

非該当

非該当

リソースディレクトリ内の連絡先の数

10

クォータの申請

非該当