Web Application Firewall (WAF) は、信頼できるサービスとしてResource ManagementのResource Directoryサービスと統合できます。 複数のAlibaba Cloudアカウントをメンバーとしてリソースディレクトリに招待できます。 メンバーを委任管理者アカウントとして指定して、リソースディレクトリ内のすべてのメンバーのクラウドリソースにアクセスできます。 これにより、リソースを一元管理できます。 このトピックでは、マルチアカウント管理機能の使用方法について説明します。
制限事項
EnterpriseまたはUltimateエディションを実行するWAFインスタンスを使用する必要があります。 他のWAFエディションは、マルチアカウント管理機能をサポートしていません。
管理者アカウントとメンバーは、同じリソースディレクトリとエンタープライズエンティティに属している必要があります。 エンタープライズエンティティは、エンタープライズ実名検証に合格する必要があります。
委任管理者アカウントを使用して中国本土でWAFインスタンスを購入する場合、メンバーは中国本土でWAFインスタンスを個別に購入することはできませんが、メンバーは中国本土以外でWAFインスタンスを購入できます。 実行中のWAFインスタンスがメンバーに属している場合、マルチアカウント管理機能を使用する前にインスタンスをリリースする必要があります。
委任された管理者アカウントに属するWAFインスタンスにメンバーのクラウドリソースを追加した後、委任された管理者アカウントを使用してのみ、WAFコンソールで保護設定、概要データ、およびセキュリティレポートを表示できます。
委任された管理者アカウントを使用してWAFコンソールでメンバーを削除すると、システムはメンバーのクラウドリソースをWAFから自動的に削除します。
設定プロセス
マルチアカウント管理機能を使用して集中管理のために複数のメンバーを追加する前に、リソースディレクトリを有効にし、WAFの委任管理者アカウントを指定し、メンバーをリソースディレクトリに招待する必要があります。 次に、WAFコンソールの機能にメンバーを追加します。
ステップ 1:リソースディレクトリの有効化
マルチアカウント管理機能を使用する前に、リソースディレクトリに複数のAlibaba Cloudアカウントを追加する必要があります。 リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。
Alibaba Cloudアカウントを使用してResource Managementコンソールにログインし、リソースディレクトリを有効にします。 Alibaba Cloudアカウントは、リソースディレクトリの管理者アカウントとして使用されます。 詳細については、「リソースディレクトリの有効化」をご参照ください。
ステップ2: メンバーを招待
Alibaba Cloudアカウントをリソースディレクトリに招待すると、アカウントはリソースディレクトリのメンバーになります。 招待されたメンバーを委任管理者アカウントとして指定できます。
にログインします。リソース管理コンソール管理者アカウントを使用してメンバーを招待します。 詳細については、「フォルダーの作成」および「Alibaba Cloudアカウントにリソースディレクトリへの参加を依頼する」をご参照ください。
招待できるアカウントがない場合は、メンバーを作成できます。 詳細については、「メンバーの作成」をご参照ください。
ステップ3: 委任された管理者アカウントを指定する
代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理者アカウントは、リソースディレクトリの組織管理タスクを実行するために使用されます。 信頼できるサービスの委任管理者アカウントは、信頼できるサービスのビジネス管理タスクを実行するために使用されます。 この方法により、セキュリティ関連の要件を満たすことができます。 委任された管理者アカウントを使用して、マルチアカウント管理機能にアクセスし、リソースディレクトリ内で管理操作を実行できます。 詳細については、「委任管理者アカウントの管理」をご参照ください。
ステップ4: メンバーの追加
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、マルチアカウント管理.
On theマルチアカウント管理ページをクリックします。メンバーを追加.
[メンバーの追加] ダイアログボックスで、追加するメンバーを選択し、メンバーを [使用可能なメンバー] セクションから [選択したメンバー] セクションに移動します。
[選択したメンバー] セクションでメンバーを選択し、[OK] をクリックします。
手順5: メンバーのクラウドリソースをWAFに追加
クラウドリソースをWAFに追加するために使用できる方法は、クラウドサービスによって異なります。
クラウドサービス | 移動方法 |
Application Load Balancer (ALB) | メンバーのALBコンソールで、メンバーのクラウドリソースのWAF保護を有効にできます。 その後、WAFコンソールで追加されたクラウドリソースを表示できます。 |
レイヤー7クラシックロードバランサ (CLB) | メンバーのクラウドリソースは、委任された管理者アカウントに自動的に同期されます。 委任された管理者アカウントのWAFコンソールでリソースをWAFに追加できます。 |
レイヤー4 CLB | メンバーのクラウドリソースは、委任された管理者アカウントに自動的に同期されます。 委任された管理者アカウントのWAFコンソールでリソースをWAFに追加できます。 |
Elastic Compute Service (ECS) | メンバーのクラウドリソースは、委任された管理者アカウントに自動的に同期されます。 委任された管理者アカウントのWAFコンソールでリソースをWAFに追加できます。 |
Microservices Engine (MSE) | メンバーのMSEコンソールで、メンバーのクラウドリソースのWAF保護を有効にできます。 その後、WAFコンソールで追加されたクラウドリソースを表示できます。 |
Function Compute | メンバーのFunction Computeコンソールで、メンバーのクラウドリソースのWAF保護を有効にできます。 その後、WAFコンソールで追加されたクラウドリソースを表示できます。 |
サーバーレスApp Engine (SAE) | メンバーのSAEコンソールで、メンバーのクラウドリソースのWAF保護を有効にできます。 その後、WAFコンソールで追加されたクラウドリソースを表示できます。 |