信頼済みサービスとは、リソースディレクトリサービスと統合された Alibaba Cloud サービスを指します。 Alibaba Cloud サービスは、リソースディレクトリと連携することで、関連のリソースディレクトリ内のメンバーやフォルダーなどの情報にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼済みサービスの代理管理者アカウントを使用することで、リソースディレクトリに基づいて信頼済みサービスのビジネスを管理できます。 企業で有効化されたクラウドサービスをより簡単に一元管理できるようになります。 たとえば、Cloud Config を リソースディレクトリと連携し、リソースディレクトリの管理アカウントを使用することで、Cloud Config の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、リソースの構成履歴、コンプライアンス状況が含まれます。 Cloud Config で、リソース設定のコンプライアンスをモニタリングすることも可能です。
信頼済みサービスの使用
信頼済みサービスは、コンソールまたは API 操作を呼び出すことで使用できます。 このセクションでは、コンソールで信頼済みサービスを使用する方法について説明します。
Alibaba Cloud アカウントを使用して、Resource Management コンソールにログインし、リソースディレクトリを有効化します。 この Alibaba Cloud アカウントは、リソースディレクトリの管理アカウントです。
詳細については、「リソースディレクトリの有効化」をご参照ください。
Resource Management コンソールで、企業の組織構造を構築します。 リソースディレクトリにメンバーを作成するか、または既存の Alibaba Cloud アカウントをリソースディレクトリに招待できます。
詳細については、「フォルダーの作成」、「メンバーの作成」、および「Alibaba Cloudアカウントにリソースディレクトリへの参加を依頼する」をご参照ください。
(オプション) リソース管理コンソールで、信頼できるサービスの委任管理者アカウントとしてメンバーを指定します。
信頼済みサービスの代理管理者アカウントを指定しない場合、信頼済みサービスでは、管理アカウントからのみビジネスを管理できます。
信頼できるサービスの委任管理者アカウントを指定する方法の詳細については、「委任管理者アカウントの追加」をご参照ください。
説明この手順は、代理管理者アカウントをサポートしている信頼済みサービスにのみ使用できます。
信頼済みサービスのコンソールで、管理アカウントまたは代理管理者アカウントを使用して、マルチアカウント管理機能を有効化します。 次に、リソースディレクトリの組織構造に基づいて一元管理するメンバーを選択し、選択したメンバーの操作を管理します。
この手順は、信頼済みサービスによって異なります。 詳細については、サポートされている信頼できるサービスセクションの参照列を参照してください。
サポートされている信頼済みサービス
信頼できるサービス | 信頼できるサービス識別子 | 説明 | 委任管理者アカウントのサポート | 関連ドキュメント |
Cloud Config | config.aliyuncs.com | Cloud Configがリソースディレクトリと統合された後、リソースディレクトリの管理アカウントを使用して、Cloud Configの関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスステータスが含まれます。 Cloud Config で、リソース設定のコンプライアンスをモニタリングすることも可能です。 | 必須 | |
ActionTrail | actiontrail.aliyuncs.com | ActionTrail とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して、ActionTrail にマルチアカウントトレイルを作成できます。 マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーのイベントをObject Storage Service (OSS) バケットまたはSimple Log Service Logstoreに配信します。 | 必須 | |
Security Center | sas.aliyuncs.com | Security Center とリソースディレクトリを連携させると、Security Center で、リソースディレクトリ内のすべてのメンバーに関して検出されたセキュリティリスクを確認できるインターフェースを利用できるようになります。 | 必須 | |
Cloud Firewall | cloudfw.aliyuncs.com | Cloud Firewall とリソースディレクトリを連携させると、Cloud Firewall を使用して、複数のアカウント内のリソースのパブリック IP アドレスを一元管理できるようになります。 また、パブリック IP アドレスに対する防御ポリシーの設定や、ログ解析結果の表示も一元的に行えます。 これにより、セキュリティ関連の制御を一元的に実行できるようになります。 | 必須 | |
Dynamic Content Delivery Network (DCDN) | multiaccount.dcdn.aliyuncs.com | DCDN とリソースディレクトリを連携させると、DCDN でマルチアカウント管理機能を使って、異なるアカウントとプロダクトに属するドメイン名を一元管理できるようになります。 | ✕ | なし |
ハイブリッドクラウドモニタリング | cloudmonitor.aliyuncs.com | Hybrid Cloud Monitoringがリソースディレクトリと統合された後、Hybrid Cloud Monitoringは、企業が使用する複数のAlibaba Cloudアカウント内のリソースを一元的に監視できます。 | 必須 | |
CloudSSO | cloudsso.aliyuncs.com | CloudSSO とリソースディレクトリを連携させると、CloudSSO で、リソースディレクトリの管理アカウントを使用して、企業内で Alibaba Cloud サービスを使用するユーザーのアカウントを一元管理できるようになります。 企業の ID 管理システムと Alibaba Cloud 間でシングルサインオン (SSO) を設定できます。 さらに、リソースディレクトリのメンバーに対するユーザーのアクセス権限を一元的に設定できます。 | 必須 | |
ログ監査サービス | audit.log.aliyuncs.com | ログ監査サービスとリソースディレクトリを連携させると、ログ監査サービスで複数のアカウントから Alibaba Cloud サービスのログを自動的に収集し、ログを一元で保存、監査、分析できるようになります。 | 必須 | |
Resource Orchestration Service (ROS) | ros.aliyuncs.com | ROS とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して、システムが必要とするリソースをリソースディレクトリのメンバー内に配置できるようになります。 これにより、マルチアカウント環境でリソースを一元管理できるようになります。 | 必須 | |
リソース共有 | resourcesharing.aliyuncs.com | リソース共有を有効化すると、リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のすべてのメンバー、リソースディレクトリ内の特定のフォルダー内のすべてのメンバー、またはリソースディレクトリ内の特定のメンバーとリソースを共有できるようになります。 リソースディレクトリに新しくメンバーが追加されると、システムにより、リソース共有の設定に基づく共有リソースへのアクセス権限が、メンバーに自動的に付与されます。 リソースディレクトリからメンバーが削除されると、メンバーにアクセス権限がある場合、システムによりメンバーから共有リソースへのアクセス権限が自動で取り消されます。 | 選択可能 | |
Cloud Governance Center | governance.aliyuncs.com | Cloud Governance Center とリソースディレクトリを連携させると、Cloud Governance Center コンソールで、リソースディレクトリのメンバー内のリソースの分散および変更に関するステータスを表示できるようになります。 また、コンプライアンス監査の保護ルールを設定して、メンバーの監査ログを一元的に配信することも可能です。 | 選択可能 | |
タグ | tag.aliyuncs.com | リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にできます。 タグポリシーを使用して、リソースディレクトリのメンバーを使用して実行されるタグ関連の操作を管理できます。 | 必須 | |
サービスカタログ | servicecatalog.aliyuncs.com | サービスカタログのプロダクトポートフォリオを、リソースディレクトリのメンバーと共有できます。 プロダクトポートフォリオの構成の変更は、メンバーに対してリアルタイムで同期されます。 管理の効率が大幅に向上します。 | 必須 | |
クォータセンター | quotas.aliyuncs.com | クォータテンプレートの作成後にメンバーがリソースディレクトリに追加された場合、クォータテンプレートはそのメンバーのクォータ増加リクエストを自動送信します。 | 選択可能 | |
リソースセンター | resourcecenter.aliyuncs.com | Resource Centerを有効にすると、アカウント、サービス、またはリージョン全体のリソースを表示および検索できます。 | 必須 | |
メッセージセンター | messagecenter.aliyuncs.com | Message CenterをResource Directoryと統合すると、企業が使用するすべてのアカウントのメッセージ連絡先を一元管理できます。 | 選択可能 | |
Prometheusのマネージドサービス | prometheus.aliyuncs.com | Managed Service for PrometheusがResource Directoryと統合された後、企業の複数のアカウント内のPrometheusインスタンスを一元的に監視できます。 | 必須 | |
カーボン足跡 | energy.aliyuncs.com | カーボンフットプリントがリソースディレクトリと統合された後、リソースディレクトリの管理アカウントを使用して、企業のすべてのAlibaba cloudアカウント内のクラウドリソースの温室効果ガス排出データを一元的に表示できます。 | 必須 | |
Webアプリケーションファイアウォール (WAF) 3.0 | waf.aliyuncs.com | WAF 3.0がリソースディレクトリと統合されると、メンバー内のクラウドリソースに集中的にアクセスし、リソースのセキュリティポリシーを一元的に構成できます。 | 必須 | |
Anti-DDoS Origin | ddosbgp.aliyuncs.com | 複数のアカウント間でAnti-DDoSインスタンスを共有できます。 | 必須 | |
Bastionhost | bastionhost.aliyuncs.com | 単一の要塞ホストを使用して、複数のアカウント内のアセットを一元管理できます。 これにより、統合アセットO&Mと管理の実装に役立ちます。 | 必須 | |
データセキュリティセンター (DSC) | sddp.aliyuncs.com | 複数のアカウント内でデータアセットを管理し、分類結果、データアセットリスク、および脅威イベントを集計、表示、および管理できます。 これは、セキュリティ操作の効率を向上させるのに役立つ。 | 必須 |
信頼済みサービスの有効化または無効化
サービスのコンソールまたは API を使用して、信頼済みサービスを有効化または無効化できます。 詳細については、サービスのドキュメントをご参照ください。
Resource Management コンソールの左側のナビゲーションペインで、
を選択すると、信頼済みサービスのステータスが表示されます。 Resource Management コンソールで、信頼済みサービスを有効化または無効化することはできません。一部の信頼済みサービスで特定の操作を実行すると、リソースディレクトリにより、信頼済みサービスの状態が、自動的に [有効] に更新されます。 たとえば、ActionTrail でマルチアカウントトレイルを作成した場合や、信頼済みサービスでリソースディレクトリに関するリソースを初めて表示した場合、リソースディレクトリにより ActionTrail または信頼済みサービスの状態が自動的に [有効] に更新されます。
一部の信頼済みサービスで特定の操作を実行すると、リソースディレクトリにより、信頼済みサービスの状態が、自動的に [無効] に更新されます。 たとえば、信頼済みサービスによって提供される機能を無効化すると、リソースディレクトリによって信頼済みサービスの状態が自動的に [無効] に更新されます。 信頼済みサービスが無効になっている場合、サービスはリソースディレクトリ内のメンバーまたはリソースにアクセスできません。 さらに、リソースディレクトリとの連携に関連するリソースが、信頼済みサービスから削除されます。
信頼済みサービスのサービスにリンクされたロール
リソースディレクトリにより、メンバーごとにサービスにリンクされたロール AliyunServiceRoleForResourceDirectory が作成されます。 このロールにより、リソースディレクトリで信頼済みサービスに必要なロールを作成できるようになります。 リソースディレクトリのみがこのロールを引き受けることができます。 詳細については、「リソースディレクトリのRAMロール」をご参照ください。
信頼済みサービスによって作成されるサービスにリンクされたロール (Cloud Config の AliyunServiceRoleForConfig ロール等) は、管理操作の実行に使用されるメンバーに対してのみ作成されます。 これらのロールは、信頼済みサービスが特定のタスクを実行するために必要な権限を定義します。 信頼済みサービスのみが、独自のサービスにリンクされたロールを引き受けることができます。
サービスにリンクされたロールにアタッチされるポリシーは、リンクされたサービスによって定義され、使用されます。 このポリシーを変更または削除することはできません。 また、サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることもできません。 詳細については、「サービスにリンクされたロール」をご参照ください。