複数の Alibaba Cloud アカウントをお持ちの企業のお客様は、Alibaba Cloud Resource Management の信頼できるサービス機能を利用して、各アカウントのクラウドプロダクトを Web Application Firewall (WAF) で保護できます。この機能では、複数の Alibaba Cloud アカウントをリソースディレクトリにグループ化し、各アカウントをメンバーアカウントとして扱います。その後、特定のメンバーアカウントを WAF 管理者として委任できます。管理者は、リソースディレクトリ内のすべてのメンバーアカウントのクラウドリソースにアクセスでき、WAF 接続と防御設定の集中管理が可能になります。このトピックでは、マルチアカウント管理機能の使用方法について説明します。
制限事項
マルチアカウント管理機能は、Web Application Firewall (WAF) Enterprise Edition および Ultimate Edition でのみ利用できます。
管理アカウントとメンバーアカウントは、同じリソースディレクトリに属し、同じ企業の実名認証を共有する必要があります。
管理アカウントが中国本土に WAF インスタンスを所有している場合、メンバーアカウントは中国本土で WAF インスタンスを購入できません。ただし、中国本土以外のインスタンスは購入できます。メンバーアカウントがすでに稼働中の WAF インスタンスを所有している場合は、マルチアカウント管理機能を使用する前に、そのインスタンスをリリースする必要があります。
メンバーアカウントのクラウド資産が委任管理者アカウントの WAF インスタンスに追加された後、防御設定、概要、およびセキュリティレポートは、委任管理者アカウントの WAF コンソールでのみ表示できます。
委任管理者アカウントが WAF コンソールでメンバーアカウントを削除すると、システムはそのメンバーアカウントのクラウド資産から WAF 保護を自動的に解除します。
設定フロー
マルチアカウント管理機能を使用するには、まずリソースディレクトリを有効化し、WAF の委任管理者アカウントを追加して、メンバーアカウントを招待する必要があります。その後、WAF のマルチアカウント管理機能を使用してメンバーアカウントを追加し、それらのクラウドプロダクト資産を集中管理できます。
ステップ 1:リソースディレクトリの有効化
マルチアカウント管理機能を使用する前に、企業の Alibaba Cloud アカウントをリソースディレクトリにグループ化する必要があります。Resource Directory の詳細については、「Resource Directory とは」をご参照ください。
管理アカウントで Resource Management コンソール にログインし、Resource Directory を有効化します。詳細については、「リソースディレクトリの有効化」をご参照ください。
ステップ 2:メンバーの招待
アカウントが招待を承諾してリソースディレクトリに参加すると、一元管理されるメンバーになります。委任管理者アカウントを追加する際に、このメンバーを選択できます。
管理アカウントで Resource Management コンソール にログインし、メンバーを招待して組織構造を構築します。詳細については、「フォルダーの作成」および「Alibaba Cloud アカウントをリソースディレクトリに招待」をご参照ください。
招待するメンバーアカウントがない場合は、直接メンバーアカウントを作成できます。詳細については、「メンバーの作成」をご参照ください。
ステップ 3:委任管理者アカウントの追加
委任管理者アカウントは、組織管理タスクとサービス管理タスクを分離します。管理アカウントはリソースディレクトリの組織管理を担当し、委任管理者アカウントは信頼できるサービスのサービス管理を担当します。この分離は、セキュリティのベストプラクティスに沿ったものです。委任管理者アカウントを使用して WAF のマルチアカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できます。詳細については、「委任管理者アカウントの管理」をご参照ください。
ステップ 4:メンバーアカウントの追加
-
Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーから、WAF インスタンスのリソースグループとリージョン ( 中国本土 または 中国本土以外 ) を選択します。
左側のナビゲーションウィンドウで、マルチアカウント管理 をクリックします。
マルチアカウント管理 ページで、メンバーアカウントの追加 をクリックします。
メンバーアカウントの追加 ダイアログボックスで、インポートするメンバーアカウントを選択し、右側の Web Application Firewall メンバーアカウントのインポートが選択されました リストに追加します。
右側の Web Application Firewall メンバーアカウントのインポートが選択されました リストで、メンバーアカウントを選択し、OK をクリックします。
ステップ 5:メンバーアカウントからのクラウドプロダクト資産の追加
クラウドプロダクト資産の接続タイプを選択します。
クラウドプロダクト資産 | 接続タイプ |
ALB | メンバーアカウントから ALB コンソールにアクセスし、「クラウドサービスアクセス用の ALB インスタンスリスト」で ALB インスタンスを表示できます。 |
CLB (HTTP/HTTPS) | メンバーアカウントの CLB 資産は、委任管理者アカウントに自動的に同期されます。委任管理者の WAF コンソールで資産を接続できます。 |
CLB (TCP) | メンバーアカウントの CLB 資産は、委任管理者アカウントに自動的に同期されます。委任管理者の WAF コンソールで資産を接続できます。 |
ECS | メンバーアカウントの ECS 資産は、委任管理者アカウントに自動的に同期されます。委任管理者の WAF コンソールで資産を接続できます。 |
MSE | メンバーアカウントで MSE コンソールにアクセスした後、「クラウドサービス統合」ページで MSE インスタンスを表示できます。 |
FC | メンバーアカウントの FC コンソールで FC を統合できます。統合後、FC インスタンスは「クラウドサービス統合」の FC インスタンスリストに表示されます。 |
SAE | メンバーアカウントの SAE コンソールで資産を接続します。接続が確立されると、クラウドネイティブモードの SAE インスタンスリストで資産を表示できます。 |
NLB | メンバーアカウントの NLB 資産は、委任管理者アカウントに自動的に同期されます。委任管理者の WAF コンソールで資産を接続できます。 |
APIG | メンバーアカウントの APIG コンソールでサービスを統合すると、インスタンスは「クラウドサービス統合 APIG インスタンスリスト」に表示されます。 |