信頼済みサービスとは、リソースディレクトリサービスと統合された Alibaba Cloud サービスを指します。 Alibaba Cloud サービスは、リソースディレクトリと連携することで、関連のリソースディレクトリ内のメンバーやフォルダーなどの情報にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼済みサービスの代理管理者アカウントを使用することで、リソースディレクトリに基づいて信頼済みサービスのビジネスを管理できます。 企業で有効化されたクラウドサービスをより簡単に一元管理できるようになります。 たとえば、Cloud Config とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して Cloud Config の関連情報を表示できるようになります。リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスのステータスなどの情報を表示できます。 Cloud Config で、リソース設定のコンプライアンスをモニタリングすることも可能です。
信頼済みサービスの使用
信頼済みサービスは、コンソールまたは API 操作を呼び出すことで使用できます。 このセクションでは、コンソールで信頼済みサービスを使用する方法について説明します。
- Alibaba Cloud アカウントを使用して、Resource Management コンソールにログインし、リソースディレクトリを有効化します。 この Alibaba Cloud アカウントは、リソースディレクトリの管理アカウントです。
詳細については、「リソースディレクトリの有効化」をご参照ください。
- Resource Management コンソールで、企業の組織構造を構築します。 リソースディレクトリにメンバーを作成するか、または既存の Alibaba Cloud アカウントをリソースディレクトリに招待できます。
詳細については、「フォルダーの作成」、「メンバーの作成」、「Alibaba Cloud アカウントをリソースディレクトリに招待する方法」をご参照ください。
- オプションです。 Resource Management コンソールで、メンバーを信頼済みサービスの代理管理者アカウントに指定します。
信頼済みサービスの代理管理者アカウントを指定しない場合、信頼済みサービスでは、管理アカウントからのみビジネスを管理できます。
信頼済みサービスの代理管理者アカウントの指定方法の詳細は、「代理管理者アカウントの追加」をご参照ください。
説明 この手順は、代理管理者アカウントをサポートしている信頼済みサービスにのみ使用できます。 - 信頼済みサービスのコンソールで、管理アカウントまたは代理管理者アカウントを使用して、マルチアカウント管理機能を有効化します。 次に、リソースディレクトリの組織構造に基づいて一元管理するメンバーを選択し、選択したメンバーの操作を管理します。
この手順は、信頼済みサービスによって異なります。 詳細については、サポートされている信頼済みサービスセクションの [参照] 列を参照してください。
サポートされている信頼済みサービス
信頼済みサービス | 信頼済みサービスの識別子 | 説明 | 代理管理者アカウントのサポート | 参考資料 |
---|---|---|---|---|
Cloud Config | config.aliyuncs.com | Cloud Config とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して Cloud Config の関連情報を表示できるようになります。リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスのステータスなどの情報を表示できます。 Cloud Config で、リソース設定のコンプライアンスをモニタリングすることも可能です。 | 〇 | アカウントグループの概要 |
ActionTrail | actiontrail.aliyuncs.com | ActionTrail とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して、ActionTrail にマルチアカウントトレイルを作成できます。 マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーのイベントを、Object Storage Service (OSS) バケットまたは Log Service Logstore に配信します。 | 〇 | マルチアカウントトレイルの概要 |
Security Center | sas.aliyuncs.com | Security Center とリソースディレクトリを連携させると、Security Center で、リソースディレクトリ内のすべてのメンバーに関して検出されたセキュリティリスクを確認できるインターフェースを利用できるようになります。 | 〇 | Use the multi-account control feature |
Cloud Firewall | cloudfw.aliyuncs.com | Cloud Firewall とリソースディレクトリを連携させると、Cloud Firewall を使用して、複数のアカウント内のリソースのパブリック IP アドレスを一元管理できるようになります。 また、パブリック IP アドレスに対する防御ポリシーの設定や、ログ解析結果の表示も一元的に行えます。 これにより、セキュリティ関連の制御を一元的に実行できるようになります。 | 〇 | 集中アカウント管理の使用 |
Dynamic Route for CDN (DCDN) | multiaccount.dcdn.aliyuncs.com | DCDN とリソースディレクトリを連携させると、DCDN でマルチアカウント管理機能を使って、異なるアカウントとプロダクトに属するドメイン名を一元管理できるようになります。 | ✕ | なし |
CloudMonitor | cloudmonitor.aliyuncs.com | CloudMonitor とリソースディレクトリを連携させると、CloudMonitor で企業が使用する複数の Alibaba Cloud アカウント内のリソースを一元的に監視できるようになります。 | 〇 | ハイブリッドクラウドモニタリングの概要 |
CloudSSO | cloudsso.aliyuncs.com | CloudSSO とリソースディレクトリを連携させると、CloudSSO で、リソースディレクトリの管理アカウントを使用して、企業内で Alibaba Cloud サービスを使用するユーザーのアカウントを一元管理できるようになります。 企業の ID 管理システムと Alibaba Cloud 間でシングルサインオン (SSO) を設定できます。 さらに、リソースディレクトリのメンバーに対するユーザーのアクセス権限を一元的に設定できます。 | ✕ | t2090970.html#concept_2090970 |
ログ監査サービス | audit.log.aliyuncs.com | ログ監査サービスとリソースディレクトリを連携させると、ログ監査サービスで複数のアカウントから Alibaba Cloud サービスのログを自動的に収集し、ログを一元で保存、監査、分析できるようになります。 | 〇 | マルチアカウント収集に関する設定 |
Resource Orchestration Service (ROS) | ros.aliyuncs.com | ROS とリソースディレクトリを連携させると、リソースディレクトリの管理アカウントを使用して、システムが必要とするリソースをリソースディレクトリのメンバー内に配置できるようになります。 これにより、マルチアカウント環境でリソースを一元管理できるようになります。 | 〇 | スタックグループの概要 |
リソース共有 | resourcesharing.aliyuncs.com | リソース共有を有効化すると、リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のすべてのメンバー、リソースディレクトリ内の特定のフォルダー内のすべてのメンバー、またはリソースディレクトリ内の特定のメンバーとリソースを共有できるようになります。 リソースディレクトリに新しくメンバーが追加されると、システムにより、リソース共有の設定に基づく共有リソースへのアクセス権限が、メンバーに自動的に付与されます。 リソースディレクトリからメンバーが削除されると、メンバーにアクセス権限がある場合、システムによりメンバーから共有リソースへのアクセス権限が自動で取り消されます。 | ✕ | リソース共有の概要 |
Cloud Governance Center | governance.aliyuncs.com | Cloud Governance Center とリソースディレクトリを連携させると、Cloud Governance Center コンソールで、リソースディレクトリのメンバー内のリソースの分散および変更に関するステータスを表示できるようになります。 また、コンプライアンス監査の保護ルールを設定して、メンバーの監査ログを一元的に配信することも可能です。 | ✕ | |
タグ | tag.aliyuncs.com | リソースディレクトリの管理アカウントを使用して、マルチアカウントモードのタグポリシー機能を有効化できます。 タグポリシーを活用して、リソースディレクトリ内のメンバーで、実行されるタグ関連の操作を管理できるようになります。 | 〇 | マルチアカウントモードでのタグポリシー機能の有効化 |
サービスカタログ | servicecatalog.aliyuncs.com | サービスカタログのプロダクトポートフォリオを、リソースディレクトリのメンバーと共有できます。 プロダクトポートフォリオの構成の変更は、メンバーに対してリアルタイムで同期されます。 管理の効率が大幅に向上します。 | 〇 | t2208140.html#task_2208140 |
クォータセンター | quotas.aliyuncs.com | クォータテンプレートの作成後にメンバーがリソースディレクトリに追加された場合、クォータテンプレートはそのメンバーのクォータ増加リクエストを自動送信します。 | ✕ | t2245155.html#task_2245155 |
信頼済みサービスの有効化または無効化
サービスのコンソールまたは API を使用して、信頼済みサービスを有効化または無効化できます。 詳細については、サービスのドキュメントをご参照ください。
Resource Management コンソールの左側のナビゲーションペインで、
を選択すると、信頼済みサービスのステータスが表示されます。 Resource Management コンソールで、信頼済みサービスを有効化または無効化することはできません。一部の信頼済みサービスで特定の操作を実行すると、リソースディレクトリにより、信頼済みサービスの状態が、自動的に [有効] に更新されます。 たとえば、ActionTrail でマルチアカウントトレイルを作成した場合や、信頼済みサービスでリソースディレクトリに関するリソースを初めて表示した場合、リソースディレクトリにより ActionTrail または信頼済みサービスの状態が自動的に [有効] に更新されます。
一部の信頼済みサービスで特定の操作を実行すると、リソースディレクトリにより、信頼済みサービスの状態が、自動的に [無効] に更新されます。 たとえば、信頼済みサービスによって提供される機能を無効化すると、リソースディレクトリによって信頼済みサービスの状態が自動的に [無効] に更新されます。 信頼済みサービスが無効になっている場合、サービスはリソースディレクトリ内のメンバーまたはリソースにアクセスできません。 さらに、リソースディレクトリとの連携に関連するリソースが、信頼済みサービスから削除されます。
信頼済みサービスのサービスにリンクされたロール
リソースディレクトリにより、メンバーごとにサービスにリンクされたロール AliyunServiceRoleForResourceDirectory が作成されます。 このロールにより、リソースディレクトリで信頼済みサービスに必要なロールを作成できるようになります。 リソースディレクトリのみがこのロールを引き受けることができます。 詳細については、「リソースディレクトリの RAM ロール」をご参照ください。
信頼済みサービスによって作成されるサービスにリンクされたロール (Cloud Config の AliyunServiceRoleForConfig ロール等) は、管理操作の実行に使用されるメンバーに対してのみ作成されます。 これらのロールは、信頼済みサービスが特定のタスクを実行するために必要な権限を定義します。 信頼済みサービスのみが、独自のサービスにリンクされたロールを引き受けることができます。
サービスにリンクされたロールにアタッチされるポリシーは、リンクされたサービスによって定義され、使用されます。 このポリシーを変更または削除することはできません。 また、サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることもできません。 詳細については、「サービスにリンクされたロール」をご参照ください。