信頼済みサービスとは、Resource Directory サービスと統合された Alibaba Cloud サービスを指します。Alibaba Cloud サービスが Resource Directory と統合されると、そのサービスは、リソースディレクトリ内のメンバーやフォルダなど、関連するリソースディレクトリの情報にアクセスできるようになります。リソースディレクトリの管理アカウント、または信頼済みサービスの委任管理者アカウントを使用して、リソースディレクトリに基づいて信頼済みサービス内のビジネスを管理できます。これにより、企業が有効化したクラウドサービスの一元管理が簡素化されます。たとえば、Cloud Config が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、Cloud Config 内の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスステータスが含まれます。また、Cloud Config でリソース構成のコンプライアンスをモニターすることもできます。
信頼済みサービスの利用
信頼済みサービスは、API 操作を呼び出すか、コンソールを使用して利用できます。このセクションでは、コンソールで信頼済みサービスを利用する方法について説明します。
Alibaba Cloud アカウントを使用して Resource Management コンソールにログインし、リソースディレクトリを有効化します。この Alibaba Cloud アカウントは、リソースディレクトリの管理アカウントになります。
詳細については、「リソースディレクトリの有効化」をご参照ください。
Resource Management コンソールで、企業の組織構造を構築します。リソースディレクトリにメンバーを作成するか、既存の Alibaba Cloud アカウントをリソースディレクトリに招待できます。
詳細については、「フォルダの作成」、「メンバーの作成」、および「Alibaba Cloud アカウントをリソースディレクトリに招待」をご参照ください。
(任意) Resource Management コンソールで、メンバーを信頼済みサービスの委任管理者アカウントとして指定します。
信頼済みサービスの委任管理者アカウントを指定しない場合、管理アカウントのみを使用して信頼済みサービス内のビジネスを管理できます。
信頼済みサービスの委任管理者アカウントを指定する方法の詳細については、「委任管理者アカウントの追加」をご参照ください。
説明このステップは、委任管理者アカウントをサポートする信頼済みサービスにのみ適用されます。
信頼済みサービスのコンソールで、管理アカウントまたは委任管理者アカウントを使用して、マルチアカウント管理機能を有効化します。次に、リソースディレクトリの組織構造に基づいて一元管理したいメンバーを選択し、選択したメンバーに対する操作を管理します。
このステップは、特定の信頼済みサービスによって異なります。詳細については、「サポートされている信頼済みサービス」セクションの「リファレンス」列をご参照ください。
サポートされている信頼済みサービス
信頼済みサービス | 信頼済みサービス識別子 | 説明 | 委任管理者アカウントのサポート | リファレンス |
Cloud Config | config.aliyuncs.com | Cloud Config が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、Cloud Config 内の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスステータスが含まれます。また、Cloud Config でリソース構成のコンプライアンスをモニターすることもできます。 | はい | |
ActionTrail | actiontrail.aliyuncs.com | ActionTrail が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、ActionTrail でマルチアカウントトレイルを作成できます。マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーのイベントを Object Storage Service (OSS) バケットまたは Simple Log Service Logstore に配信します。 | はい | |
Security Center | sas.aliyuncs.com | Security Center が Resource Directory と統合されると、Security Center はリソースディレクトリ内のすべてのメンバーについて検出されたセキュリティリスクを表示するインターフェイスを提供します。 | はい | |
Cloud Firewall | cloudfw.aliyuncs.com | Cloud Firewall が Resource Directory と統合されると、Cloud Firewall を使用して、複数のアカウント内のリソースのパブリック IP アドレスを集中管理できます。また、パブリック IP アドレスの防御ポリシーを構成し、ログ分析結果を統一的に表示することもできます。これにより、集中化されたセキュリティコントロールが実現します。 | はい | |
Dynamic Content Delivery Network (DCDN) | multiaccount.dcdn.aliyuncs.com | DCDN が Resource Directory と統合されると、DCDN はマルチアカウント管理機能を提供し、異なるアカウントやプロダクトに属するドメイン名を一元管理できます。 | いいえ | なし |
ハイブリッドクラウド監視 | cloudmonitor.aliyuncs.com | ハイブリッドクラウド監視が Resource Directory と統合されると、ハイブリッドクラウド監視は、企業が使用する複数の Alibaba Cloud アカウント内のリソースを集中監視できます。 | はい | |
CloudSSO | cloudsso.aliyuncs.com | CloudSSO が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、企業内で Alibaba Cloud サービスを使用するユーザーのアカウントを CloudSSO で集中管理できます。企業の ID 管理システムと Alibaba Cloud との間でシングルサインオン (SSO) を構成できます。さらに、リソースディレクトリのメンバーに対するユーザーのアクセス権限を集中管理できます。 | はい | |
Log Audit Service | audit.log.aliyuncs.com | Log Audit Service が Resource Directory と統合されると、Log Audit Service は複数のアカウントから Alibaba Cloud サービスのログを自動的に収集し、ログを集中管理して保存、監査、分析できます。 | はい | |
Resource Orchestration Service (ROS) | ros.aliyuncs.com | ROS が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、システムで必要なリソースをリソースディレクトリのメンバー内にデプロイできます。これにより、マルチアカウント環境での集中リソース管理が実現します。 | はい | |
リソース共有 | resourcesharing.aliyuncs.com | リソース共有を有効にすると、リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のすべてのメンバー、リソースディレクトリ内の特定のフォルダ内のすべてのメンバー、またはリソースディレクトリ内の特定のメンバーとリソースを共有できます。リソースディレクトリに新しく追加されたメンバーに対しては、システムはリソース共有の設定に基づいて、共有リソースへのアクセス権限を自動的に付与します。リソースディレクトリから削除されたメンバーに対しては、メンバーがそのような権限を持っている場合、システムは共有リソースへのアクセス権限を自動的に取り消します。 | いいえ | |
Cloud Governance Center | governance.aliyuncs.com | Cloud Governance Center が Resource Directory と統合されると、Cloud Governance Center コンソールで、リソースディレクトリのメンバー内のリソースの分布と変更状況を表示できます。また、コンプライアンス監査のための保護ルールを構成し、メンバーの監査ログを統一的に配信することもできます。 | いいえ | |
タグ | tag.aliyuncs.com | リソースディレクトリの管理アカウントを使用して、リソースディレクトリモードのタグポリシー機能を有効にできます。その後、タグポリシーを使用して、リソースディレクトリ内のメンバーを使用して実行されるタグ関連の操作を管理できます。 | はい | |
Service Catalog | servicecatalog.aliyuncs.com | Service Catalog のプロダクトポートフォリオをリソースディレクトリ内のメンバーと共有できます。プロダクトポートフォリオの構成が変更されると、変更はリアルタイムでメンバーに同期されます。これにより、管理効率が大幅に向上します。 | はい | |
Quota Center | quotas.aliyuncs.com | クォータテンプレートを作成した後にメンバーがリソースディレクトリに追加された場合、クォータテンプレートは自動的にそのメンバーのクォータ引き上げリクエストを送信します。 | いいえ | |
Resource Center | resourcecenter.aliyuncs.com | Resource Center を有効化すると、アカウント、サービス、またはリージョンをまたいでリソースを表示および検索できます。 | はい | |
Message Center | messagecenter.aliyuncs.com | Message Center が Resource Directory と統合されると、企業が使用するすべてのアカウントのメッセージ連絡先を集中管理できます。 | いいえ | |
Carbon Footprint | energy.aliyuncs.com | Carbon Footprint が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、企業のすべての Alibaba Cloud アカウント内のクラウドリソースの温室効果ガス排出量データを集中管理できます。 | はい | |
Web Application Firewall (WAF) 3.0 | waf.aliyuncs.com | WAF 3.0 が Resource Directory と統合されると、メンバー内のクラウドリソースに集中アクセスし、リソースのセキュリティポリシーを統一的に構成できます。 | はい | |
Anti-DDoS Origin | ddosbgp.aliyuncs.com | 複数のアカウント間で Anti-DDoS インスタンスを共有できます。 | はい | |
Bastionhost | bastionhost.aliyuncs.com | 単一の Bastionhost を使用して、複数のアカウント内の資産を集中管理できます。これにより、統一された資産の O&M と管理が実現します。 | はい | |
Data Security Center (DSC) | sddp.aliyuncs.com | 複数のアカウント内のデータ資産を管理し、分類結果、データ資産のリスク、脅威イベントを集約、表示、管理できます。これにより、セキュリティ運用の効率が向上します。 | はい | |
Managed Service for Prometheus | prometheus.aliyuncs.com | Managed Service for Prometheus が Resource Directory と統合されると、企業内の複数のアカウントにある Prometheus インスタンスを集中監視できます。 | はい | グローバル集約インスタンスを使用した Alibaba Cloud アカウント間の Prometheus インスタンスデータの監視 |
IP Address Manager (IPAM) | vpcipam.aliyuncs.com | 組織のすべてのアカウントにわたる IP アドレスの使用状況を集中監視できます。 | はい |
信頼済みサービスの有効化または無効化
サービスのコンソールまたは API を使用して、信頼済みサービスを有効化または無効化できます。詳細については、サービスのドキュメントをご参照ください。
Resource Management コンソールの左側のナビゲーションウィンドウで を選択して、信頼済みサービスのステータスを表示できます。Resource Management コンソールでは、信頼済みサービスの有効化または無効化はできません。
一部の信頼済みサービスを使用して特定の操作を実行すると、Resource Directory は信頼済みサービスの状態を自動的に「有効」に更新します。たとえば、ActionTrail でマルチアカウントトレイルを作成したり、信頼済みサービスを初めて使用して Resource Directory 関連のリソースを表示したりすると、Resource Directory は ActionTrail またはその信頼済みサービスの状態を自動的に「有効」に更新します。
一部の信頼済みサービスを使用して特定の操作を実行すると、Resource Directory は信頼済みサービスの状態を自動的に「無効」に更新します。たとえば、信頼済みサービスが提供する機能を無効にすると、Resource Directory はその信頼済みサービスの状態を自動的に「無効」に更新します。信頼済みサービスが無効化されると、そのサービスはリソースディレクトリ内のメンバーやリソースにアクセスできなくなります。さらに、Resource Directory との統合に関連するリソースは、信頼済みサービスから削除されます。
信頼済みサービスのサービスリンクロール
Resource Directory は、各メンバーに対してサービスリンクロール AliyunServiceRoleForResourceDirectory を作成します。このロールにより、Resource Directory は信頼済みサービスが必要とするロールを作成できます。このロールを引き受けることができるのは Resource Directory のみです。詳細については、「リソースディレクトリ内の RAM ロール」をご参照ください。
信頼済みサービスは、管理操作の実行に使用されるメンバーに対してのみ、Cloud Config の AliyunServiceRoleForConfig ロールなどの独自のサービスリンクロールを作成します。これらのロールは、信頼済みサービスが特定のタスクを実行するために必要な権限を定義します。信頼済みサービスのみが、独自のサービスリンクロールを引き受けることができます。
サービスリンクロールにアタッチされているポリシーは、リンクされたサービスによって定義および使用されます。このポリシーを変更または削除することはできません。また、サービスリンクロールにポリシーをアタッチしたり、ポリシーをデタッチしたりすることもできません。詳細については、「サービスリンクロール」をご参照ください。