Security Center のマルチアカウント管理機能を使用すると、企業内の複数の Alibaba Cloud アカウントに対して、セキュリティプロダクトの購入、セキュリティ保護設定の構成、セキュリティリスクへの対応を集中管理できます。また、各メンバーアカウントのセキュリティリスク状況をリアルタイムで監視することも可能です。このトピックでは、マルチアカウント管理機能の使用方法について説明します。
マルチアカウントのシナリオ
セキュリティ構成とリスク管理の集中化
セキュリティ構成とリスクの集中管理
メンバーアカウントは独立したデータと構成を維持します。Security Center の委任管理者アカウントを使用して、複数のメンバーアカウントのセキュリティ構成を集中管理し、セキュリティリスクに対応し、セキュリティ強化を実施できます。これにより、運用効率が向上し、複数のアカウントにまたがるセキュリティ運用の課題を解決します。
アカウントをまたいだログの収集、ストレージ、脅威分析
Security Center の Agentic SOC 機能を使用すると、メンバーアカウントから委任管理者アカウントにデータを収集し、集中管理されたストレージと分析を行うことができます。これにより、アカウントをまたいだセキュリティリスクを特定し、セキュリティイベントに関するグローバルな視点を提供します。
統一支払いと権限付与の共有
委任管理者は、複数の Security Center 機能の権限付与クォータを購入し、追加購入することなくこれらのクォータをメンバーアカウントに割り当てることができます。これにより、企業は Security Center の機能を集中購入でき、社内の経費精算が容易になります。
既に Security Center インスタンスを購入しているメンバーアカウントにはクォータを割り当てることはできません。クォータを割り当てるには、メンバーアカウントがサブスクリプションインスタンスをキャンセルし、従量課金インスタンスをシャットダウンする必要があります。
財務ホスティング機能を使用すると、企業内のメンバーアカウント全体のすべてのクラウドプロダクトの支払いを一本化できます。詳細については、「財務ホスティングの概要」をご参照ください。
アカウントのセキュリティのため、クォータの購入には管理アカウントではなく、Security Center の委任管理者を使用してください。
マルチアカウントシステムの例
セキュリティ専門家は、セキュリティアカウント (Security Center の委任管理者) を使用して、企業内の本番環境およびテスト環境用の Alibaba Cloud アカウントを集中管理できます。これにより、リスクの検知、リスクへの対応、セキュリティ強化を統一的に行い、セキュリティ運用の効率を向上させることができます。企業で複雑なマルチアカウントのシナリオがある場合は、チケットを起票してテクニカルサポートを依頼できます。
前提条件
リソースディレクトリで新しいメンバーを作成したか、既存の Alibaba Cloud ユーザーを招待して参加させたこと。
ステップ 1:委任管理者アカウントの追加
リソースディレクトリの管理アカウントは、メンバーを信頼済みサービスの委任管理者として指定できます。これが割り当てられると、委任管理者は管理アカウントから権限付与を受け、信頼済みサービス内でリソースディレクトリの組織とメンバー情報にアクセスし、その組織内のビジネス運用を管理できるようになります。
管理アカウントを使用して Resource Management コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼済みサービス] ページで Security Center を見つけ、[操作] 列の [管理] をクリックします。
表示されたページの [委任管理者アカウント] セクションで、[追加] をクリックします。
[委任管理者アカウントの追加] パネルで、委任管理者として設定したいメンバーを選択し、[OK] をクリックします。
アカウントが正常に追加されると、この委任管理者アカウントを使用して Security Center のマルチアカウント管理機能にアクセスし、組織内で管理を実行できます。
説明Security Center の委任管理者アカウントは最大 10 個まで追加できます。
ステップ 2:アカウント管理範囲の設定
委任管理者を使用してメンバーアカウントを集中管理できます。以下の手順に従って、委任管理者が管理できるメンバーアカウントの範囲を設定します。
委任管理者は、割り当てられた範囲内のメンバーアカウントのみを表示および管理できます。他の委任管理者が管理するメンバーアカウントにはアクセスできません。アカウント管理範囲が管理アカウントによって構成されている場合、その範囲内のメンバーアカウントを表示および管理できるのは管理アカウントのみです。
1 つのメンバーアカウントは、一度に 1 人の委任管理者にのみ割り当てることができます。
委任管理者アカウントを使用してSecurity Center コンソールにログインします。上部のナビゲーションバーで、ご利用の資産があるリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
(初回ユーザー必須) [マルチアカウント管理] ページで、Security Center 管理の有効化 をクリックします。
[設定] タブの [監視対象アカウント合計] セクションで、[アカウント管理] をクリックします。
[マルチアカウント管理設定] パネルで、現在のアカウントで管理したいメンバーアカウントを選択します。
(任意) [新規アカウントの自動管理] を有効にして、新規アカウントの管理ポリシーを設定します。
このオプションを有効にした後、[ポリシーの設定] をクリックし、対象のリソースディレクトリノードを選択して [OK] をクリックします。選択したリソースディレクトリノードに追加された新規アカウントは、自動的に管理リストに追加されます。
[OK] をクリックします。
管理範囲内のメンバーアカウントは [設定] タブで確認できます。
ステップ 3:(任意) 権限付与クォータの割り当て
企業は委任管理者アカウントを使用して、サブスクリプション形式の特定機能のクォータを集中購入し、メンバーアカウントに割り当てることができます。
制限事項
Security Center のサブスクリプションクォータを管理下のメンバーアカウントに割り当てることができるのは、委任管理者アカウントのみです。メンバーアカウントは、既存の Security Center サブスクリプションインスタンスを持っていてはならず、エージェントレス検出とサーバーレスセキュリティを除き、従量課金サービスを有効にしていない必要があります。以下の表は、割り当て可能な機能の一覧です。
機能 | 最小割り当てクォータと増分 | 注 |
ホストおよびコンテナーセキュリティ
|
|
説明
|
ランサムウェア対策容量 |
説明 マネージド型ランサムウェア対策サービスを購入すると、メンバーアカウントに割り当てられたランサムウェア対策容量は、デフォルトでマネージド型ランサムウェア対策機能を使用します。 | |
マネージド型ランサムウェア対策 | ||
ログ分析容量 |
| |
コンテナーイメージスキャン |
| |
アプリケーション保護 |
| |
クラウドハニーポット |
| |
Web サイト改ざん防止 |
| |
CSPM |
| |
不正ファイル検知 SDK |
| |
Agentic SOC - ログ追加トラフィック |
| |
Agentic SOC - ログストレージ容量 |
|
クォータの表示と購入
委任管理者アカウントを使用してSecurity Center コンソールにログインします。上部のナビゲーションバーで、ご利用の資産があるリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
[概要] ページの [サブスクリプション] セクションで、インスタンスのクォータを表示します。
このセクションには、購入したすべての機能とクォータが表示されます。例えば、図に示すように、[ランサムウェア対策 (GB)] には [132.9/150] と表示されます。ここで 150 は、現在の Alibaba Cloud アカウントで購入したランサムウェア対策容量の合計クォータ 150 GB を示し、132.9 は現在のアカウントですでに使用されているランサムウェア対策容量 (中国および中国本土以外のリージョンを含む) を示します。
クォータを追加購入するには、[今すぐ購入] または [スペックアップ] をクリックします。
詳細については、「サブスクリプションベースのインスタンスの購入」および「スペックアップとスペックダウン」をご参照ください。
クォータの割り当て
委任管理者アカウントを使用してSecurity Center コンソールにログインします。上部のナビゲーションバーで、ご利用の資産があるリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
[概要] ページの [サブスクリプション] セクションで、[マルチアカウント管理] をクリックします。
または、 ページの [設定] タブに移動し、[監視対象アカウント合計] の下にある [クォータ管理] をクリックすることもできます。
[マルチアカウントクォータ管理] ページで、[アカウントの追加] をクリックします。
[アカウントの追加] ダイアログボックスで、クォータを割り当てたいメンバーアカウントを選択し、[OK] をクリックします。
クォータを付与できるのは、現在の委任管理者アカウントが管理するメンバーアカウントのみです。管理されていないメンバーアカウントや、他の委任管理者アカウントが管理するメンバーアカウントには権限を付与できません。
エージェントレス検出とサーバーレス資産保護を除き、サブスクリプションの Security Center インスタンスを購入しておらず、付加価値機能の従量課金を有効にしていないメンバーアカウントのみを選択できます。
[クォータ管理] セクションで、メンバーアカウントにクォータを割り当てます。
[購入済みクォータ] セクションで、現在のアカウントが購入した機能とクォータを表示します。
[クォータ管理] セクションに表示される最初のアカウントは、現在のアカウントの割り当て可能な残りのクォータを示します。この行は編集できず、割り当てられていないクォータは自動的に現在のアカウントに割り当てられます。特定の機能のクォータをメンバーアカウントに割り当てる場合、割り当てられたクォータの合計は、その列の最初の行に最初に表示された数を超えてはなりません。メンバーアカウントにクォータを割り当てると、最初の行の数値はそれに応じて減少します。最小クォータと増分については、「制限事項」をご参照ください。
[保存] をクリックします。
サーバークォータをメンバーアカウントに割り当てた後、システムはすべてのクォータを利用することを目指して、割り当てられたクォータをメンバーアカウントのサーバーにランダムに自動でバインドします。後でメンバーアカウントに追加で割り当てられたクォータは自動的にサーバーにバインドされません。メンバーアカウントに切り替えて、これらの追加クォータを手動でバインドする必要があります。詳細については、「ホストおよびコンテナーセキュリティ権限の管理」をご参照ください。
ステップ 4:メンバーアカウントの構成とリスクの管理
リスク概要
メンバーアカウントのリスク概要の表示
ページの [概要] タブで、管理範囲内のメンバーアカウントの統計情報 (セキュリティスコア、リスクのある資産の数、セキュリティアラート、脆弱性、ベースラインの問題など) を表示できます。これにより、重大なセキュリティリスクを持つメンバーアカウントを特定できます。
ページの [設定] タブで、メンバーアカウントのセキュリティリスクに関する統計情報を表示できます。
メンバーアカウントの詳細なリスク情報の表示
Security Center コンソールの左上隅で、メンバーアカウントに切り替えます。その後、概要ページでそのアカウントのセキュリティ操作を表示できます。詳細については、「概要 (新規)」をご参照ください。
メンバーアカウントの構成とリスクの管理
委任管理者アカウントを使用してSecurity Center コンソールにログインします。上部のナビゲーションバーで、ご利用の資産があるリージョン ( 中国 または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[設定] タブで、メンバーアカウントの [操作] 列にある [設定] をクリックします。
[設定] パネルで、メンバーアカウントのエージェント、脆弱性、ベースラインスキャンの設定を構成し、[OK] をクリックします。
エージェント管理:セキュリティ防御機能とアラート設定を構成します。
脆弱性:メンバーアカウントの脆弱性スキャン設定を構成します。パラメーターの説明については、「脆弱性のスキャン」をご参照ください。
ベースラインチェック:メンバーアカウントのベースラインチェックポリシーを構成します。パラメーターの説明については、「ベースラインチェックポリシーの構成と実行」をご参照ください。
コンソールの左上隅で、メンバーアカウントに切り替えて、そのメンバーアカウントのコンソールにアクセスします。
メンバーアカウントのコンソールに切り替えた後、委任管理者アカウントは資産インベントリ、リスク検出、セキュリティ強化、リアルタイム保護、およびプロアクティブな検出と対応を実行できます。Security Center の機能の詳細については、「特徴」をご参照ください。
追加操作
割り当てられたクォータの使用手順
Security Center の委任管理者がメンバーアカウントにクォータを割り当てた後、それらのアカウントは割り当てられたクォータを利用できます。クォータが不足している場合、メンバーアカウントは管理アカウントに連絡して追加の割り当てを要求できます。メンバーアカウントは Security Center インスタンスの購入、更新、またはスペックアップはできません。委任管理者またはメンバーアカウントは、以下の手順を参照して、さまざまな機能のクォータを効果的に使用し、無駄を避けることができます。
ホストおよびコンテナーのクォータの管理:コンソールの [概要] または [ホスト] ページでサーバー保護クォータを表示および管理します。これには、Ultimate Edition、Enterprise Edition、Advanced Edition、および Anti-virus Edition のサーバークォータが含まれます。
ランサムウェア対策:保護ポリシーを作成して、サーバーまたはデータベースのコアデータファイルをバックアップします。ガイド:
ログ分析:すべてのログタイプはデフォルトで配信されます。手動操作は不要です。
重要委任管理者アカウントは、コンソールの左上隅でアカウントを切り替えることによって、メンバーアカウントのログ分析機能を使用することはできません。メンバーアカウントは、ログ分析機能を使用するために自身でコンソールにログインする必要があります。
コンテナーイメージスキャン:イメージスキャンを実行した後、対応するクォータが使用されてイメージのセキュリティリスクが検出されます。
アプリケーション保護:アプリケーションをアプリケーション保護機能に追加する必要があります。
クラウドハニーポット:サーバーにクラウドハニーポットをデプロイして攻撃の捕捉を実装します。
Web サイト改ざん防止:サーバーに保護を追加して、Web サイトが不正な情報で注入されるのを防ぎ、Web サイトの正常な運用を確保します。
CSPM:クラウドサービス構成リスクチェックポリシー、システムベースラインリスクチェックポリシー、および攻撃パススキャンルールを構成して、クラウドセキュリティポスチャ検出を実装します。
不正ファイル検知 SDK:サーバーで SDK を呼び出してオフラインファイルをチェックするか、Security Center コンソールで OSS に保存されているファイルをチェックして不正ファイルを検出します。
Agentic SOC ログストレージ容量:Security Center ログと標準化されたログの配信を有効にします。
Agentic SOC - ログ追加トラフィック:クラウドサービスログを Agentic SOC に追加します。
メンバーアカウントの削除
委任管理者アカウントでログインし、 ページの [設定] タブに移動します。メンバーアカウントの [操作] 列にある [削除] をクリックして削除します。
クォータがメンバーアカウントに割り当てられた後、メンバーアカウントとそのクォータを削除すると、クォータも削除されます。メンバーアカウント配下のすべての資産は保護を失い、システムは自動的にすべてのクォータを解放し、ログはクリアされます。慎重に操作してください。
メンバーアカウントのクォータの削除
委任管理者アカウントでログインし、[概要] ページに移動します。[サブスクリプション] セクションで、[マルチアカウント管理] をクリックします。[クォータ管理] セクションで、アカウント名の上にポインターを移動し、
アイコンをクリックして、確認ダイアログボックスで [OK] をクリックします。
関連ドキュメント
Agentic SOC 1.0 を使用し、Security Center - 脅威分析の委任管理者を通じて複数のアカウントを管理している場合は、関連する操作手順について「複数アカウントの集中管理」をご参照ください。
権限付与されたメンバーアカウントが Security Center を独自に購入する必要がある場合は、「権限付与されたメンバーアカウントが Security Center を独自に購入するにはどうすればよいですか?」をご参照ください。