マルチアカウント管理機能を使用すると、企業のリソースディレクトリ内の複数のメンバーを一元管理できます。 メンバーの保護設定を構成し、メンバーのリソースで検出されたリスクをリアルタイムで表示できます。 このトピックでは、マルチアカウント管理機能の使用方法について説明します。
背景情報
ビジネスをクラウドに移行する企業が増えています。 企業が多数のクラウドリソースを購入すると、リソース、プロジェクト、人員、および権限の管理が複雑になる可能性があります。 単一のアカウントを使用して要件を満たすことはできません。 この場合、ビジネスをクラウドに移行するには、マルチアカウントシステムが必要です。 エンタープライズユーザーには、複数のアカウントにまたがるクラウドリソースの集中管理が必要です。 クラウドリソースには、セキュリティ、コンプライアンス監査、ネットワーク、およびO&M製品が含まれます。
Security Centerは、信頼できるサービスとしてResource ManagementのResource Directoryと統合できます。 リソースディレクトリを使用して、複数のAlibaba Cloudアカウントを一元的かつ構造化された方法で管理できます。 たとえば、各Alibaba Cloudアカウント内のリソースに対してデータ操作とモニタリングを実装し、アカウント全体のリソースに対して迅速な操作と管理を実行できます。
制限事項
Security Centerのすべてのエディションがこの機能をサポートしています。 各エディションでサポートされている機能の詳細については、「機能と機能」をご参照ください。
前提条件
リソースディレクトリが有効です。 詳細については、「リソースディレクトリの有効化」をご参照ください。
リソースディレクトリにメンバーが作成されるか、既存のAlibaba Cloudアカウントがリソースディレクトリへの参加を求められます。 詳細については、「メンバーの作成」および「Alibaba Cloudアカウントをリソースディレクトリに参加させる」をご参照ください。
脅威分析機能が有効になっています。 監視のために脅威分析にアカウントを追加する場合は、この要件を満たす必要があります。 詳細については、「セキュリティイベントの処理」をご参照ください。
手順1: 委任された管理者アカウントを追加する
リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを信頼されたサービスの委任管理者アカウントとして指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定された後、そのメンバーを使用して、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。
Security Centerには、最大10の委任管理者アカウントを追加できます。
リソースディレクトリの管理アカウントを使用して、Resource Management コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、[セキュリティセンター] または [セキュリティセンター-脅威分析] を見つけ、[操作] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。
[委任管理者アカウントの追加] パネルで、メンバーをSecurity Centerの委任管理者アカウントとして指定し、[OK] をクリックします。
委任管理者アカウントを指定すると、委任管理者アカウントを使用して、リソースディレクトリのすべてのメンバーに対して管理操作を実行できます。
ステップ2: メンバーを追加する
マルチアカウント管理機能を使用すると、セキュリティセンターで監視されるアカウントと脅威分析で監視されるアカウントの種類のメンバーを追加できます。
Security Centerによって監視されるアカウント: 複数のAlibaba Cloudアカウント内のアセットのセキュリティステータスを監視し、アカウントの脅威分析以外の保護設定を設定する場合、security Centerタイプによって監視されるアカウントのメンバーとしてアカウントを追加できます。 設定には、アラート、脆弱性検出、ベースラインチェック、および構成評価の設定が含まれます。
脅威分析によって監視されるアカウント: 異なるAlibaba cloudアカウントに属する複数のクラウドサービスのセキュリティ情報とイベントを管理する場合、脅威分析タイプによって監視されるアカウントのメンバーとしてアカウントを追加できます。 サービスには、クラウドファイアウォールとVirtual Private Cloud (VPC) が含まれます。
Security Centerタイプによって監視されるアカウントのメンバーを追加する
Security Centerコンソールで、既存のAlibaba Cloudアカウントをメンバーとしてリソースディレクトリに招待できます。 このようにして、単一のアカウントを使用して一元的にアカウント内のアセットを管理できます。 アセットのセキュリティステータスを監視し、アラート、脆弱性チェック、ベースラインチェック、構成評価など、メンバーの脅威分析以外の保護設定を構成できます。
Security Centerコンソールにログイン。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、 を選択します。
マルチアカウント管理機能を初めて使用するときは、Security Center 管理の有効化 をクリックします。
この機能を有効にすると、リソースディレクトリのメンバーに対してAliyunServiceRoleForSasRdサービスにリンクされたロールが自動的に作成されます。 サービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
メンバーを追加します。
マルチアカウントのセキュリティ管理 ページで、
を選択します。 アカウント管理 をクリックします。アカウント追加 パネルで、招待する既存のAlibaba Cloudアカウントを選択します。
説明リソースディレクトリの管理アカウントを使用するか、委任された管理者アカウントを使用するかにかかわらず、ドロップダウンリストのメンバーは同じです。
オプションです。 新しいアカウントが作成されると、そのアカウントはデフォルトで管理アカウントのリストに追加される。を選択します。
このオプションを選択すると、Security Centerは新しく追加されたアカウントをメンバーリストに自動的に同期します。
[OK] をクリックします。
追加されたメンバーは、マルチアカウントのセキュリティ管理 ページのメンバーリストに表示されます。
メンバーの保護設定を構成します。
Account Monitored by Security Center タブで、メンバーリストでメンバーを見つけ、Actions 列の 設定 をクリックします。
設定 パネルで、クライアント管理ステップでパラメーターを設定し、次へ をクリックします。
ホスト保護、コンテナ保護、エージェント設定などの設定を構成できます。 詳細については、「機能設定」をご参照ください。
脆弱性管理ステップでパラメーターを設定し、次へ をクリックします。
各タイプの脆弱性の自動スキャンを有効または無効にでき、特定のサーバーの脆弱性スキャンを有効にできます。 スキャンサイクルとスキャン方法を設定し、検出された脆弱性が自動的に削除されるまでの日数を指定することもできます。 詳細については、「脆弱性のスキャン」をご参照ください。
[ベースライン検査] ステップでパラメーターを設定します。
ベースラインチェック機能を使用すると、メンバーのベースラインチェックポリシーを設定できます。 ベースラインチェックポリシーを使用して、メンバーに属するアセットのベースライン構成にリスクが存在するかどうかを確認できます。 詳細については、「ベースラインチェックポリシーの作成とポリシーに基づいたベースラインチェックの実行」をご参照ください。
設定が完了したら、[決定] をクリックします。
Security Centerはメンバーの機能を有効にし、構成に基づいてメンバーに属するアセットの脆弱性スキャンとベースラインチェックを実行します。
脅威分析タイプによって監視されるアカウントのメンバーを追加する
[脅威分析によって監視されるアカウント] タブで、複数のアカウントの脅威分析機能を有効にできます。 次に、異なるアカウントに属する複数のクラウドサービスのアラートを設定し、サービスに対して生成されたアラートイベントを処理できます。
Security Centerコンソールにログイン。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、 を選択します。
マルチアカウント管理機能を初めて使用するときは、Enable Threat Analysis and Control をクリックします。
この機能を有効にすると、リソースディレクトリのメンバーに対してAliyunServiceRoleForSasRdサービスにリンクされたロールが自動的に作成されます。 詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
メンバーを追加します。
マルチアカウントのセキュリティ管理ページで、
を選択します。 アカウント管理 をクリックします。アカウント追加 パネルで、招待する既存のAlibaba Cloudアカウントを選択します。
説明リソースディレクトリの管理アカウントを使用するか、委任された管理者アカウントを使用するかにかかわらず、ドロップダウンリストのメンバーは同じです。
オプションです。 新しいアカウントが作成されると、そのアカウントはデフォルトで管理アカウントのリストに追加される。.
このオプションを選択すると、Security Centerは新しく追加されたアカウントをメンバーリストに自動的に同期します。
[OK] をクリックします。
設定が完了したら、脅威分析と監視アカウント ページのメンバーリストに追加されたメンバーを表示できます。
ステップ3: メンバーのリソースで検出されたリスクを表示する
リソースディレクトリの管理アカウントまたは委任された管理者アカウントを使用してSecurity Centerコンソールにログインし、メンバーのリソースで検出されたリスクを表示し、マルチアカウント制御ページの [概要] タブでメンバーを管理できます。
Security Centerコンソールにログイン。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、 を選択します
マルチアカウントのセキュリティ管理 ページで、[Overview] タブをクリックして、セキュリティスコア、リスクのある資産、アラート、脆弱性、ベースラインリスク、資産エクスポージャー統計など、各メンバーに関する情報を表示します。
セキュリティセンターの種類によって監視されるアカウントのメンバーの表示と管理
Security Centerコンソールでは、Security Centerの種類によって監視されるアカウントまたは脅威分析の種類によって監視されるアカウントのメンバーを表示および管理できます。 たとえば、メンバーを追加または削除できます。
セキュリティセンターが監視するアカウント
Security Centerコンソールにログイン。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、 .
マルチアカウントのセキュリティ管理 ページで、
を選択します。 次に、メンバーに関する情報を表示および管理します。メンバーに関するリスク情報の表示
メンバーリストにメンバーに関するリスク情報を表示できます。 リスク情報には、Security Score、セキュリティアラートの処理、脆弱性管理、ベースライン検査、設定アセスメント、Attacksが含まれます。
メンバーのSecurity Centerコンソールに切り替える
メンバーリストで、メンバーの名前をクリックして、メンバーのSecurity Centerコンソールに切り替えます。 左側のナビゲーションウィンドウのドロップダウンリストからメンバーを選択して、メンバーのセキュリティセンターコンソールに切り替えるか、現在のログインアカウントのセキュリティセンターコンソールに戻すこともできます。
メンバーのSecurity Centerコンソールに切り替えた後、メンバーのリソースで検出されたリスクを表示し、保護設定を構成できます。 ただし、次の操作は実行できません。
購入ページまたは別のクラウドサービスのコンソールに移動します。 たとえば、概要 ページで [すぐ購入] をクリックしてエディションを選択した場合、購入ページに移動できず、The feature is not supported when the multi-account switching feature is enabled. が表示されます。
ログ分析機能を使用します。 メンバーのSecurity Centerコンソールに切り替えると、ログ分析機能へのエントリポイントはコンソールに表示されません。
マルチアカウント管理機能を使用します。 メンバーのSecurity Centerコンソールに切り替えると、マルチアカウント管理機能へのエントリポイントはコンソールに表示されません。
メンバーを次のようにマークする
メンバーリストからメンバーを選択し、Follow をクリックしてメンバーをフォローしているものとしてマークします。 続くメンバーは、左側のナビゲーションウィンドウの上部にあるドロップダウンリストに優先的に表示されます。
リソース管理コンソールにログインする
リソースディレクトリの管理アカウントを使用してリソース管理コンソールにログインする場合は、Go to をクリックして [リソースディレクトリ] ページに移動します。 [リソースディレクトリ] ページでは、すべてのアセットに関するディレクトリ情報の表示、メンバーの作成、メンバーの招待、またはリソースアカウントをクラウドアカウントにアップグレードできます。
メンバーの削除
[削除] をクリックして、メンバーリストからメンバーを削除します。
脅威分析によって監視されるアカウント
Security Centerコンソールにログイン。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、 を選択します。
マルチアカウントのセキュリティ管理ページで、
を選択します。 次に、メンバーに関する情報を表示および管理します。メンバーに関する情報の表示
メンバーリストにメンバーに関する情報を表示できます。
メンバーの削除
メンバーリストからメンバーを削除するには、メンバーの 操作する 列の 削除 をクリックします。