Konfigurasikan baseline akun untuk provisioning aman di Account Factory - Cloud Governance Center

Sebelum membuat akun di Pabrik Akun, Anda perlu mengonfigurasi baseline akun yang mencakup item terkait identitas, izin, jaringan, dan keamanan. Ini meningkatkan efisiensi pembuatan akun.

Prosedur

Masuk ke Konsol Pusat Tata Kelola Cloud.
Di panel navigasi sisi kiri, pilih Landing Zone > Account Factory.
Di halaman Account Factory, klik Settings di bagian Orchestration for Account Baseline.
Di kotak dialog Orchestration for Account Baseline, pilih baseline akun yang ingin dikonfigurasi dan klik Confirm.
Jika baseline default tidak lagi memenuhi kebutuhan Anda, klik Create Baseline untuk membuat beberapa baseline orkestrasi. Anda dapat membuat template baseline untuk akun dengan tujuan berbeda. Dengan cara ini, Anda dapat membuat akun tertentu berdasarkan template baseline yang telah dibuat. Dalam contoh ini, baseline default digunakan.
Jika Anda tidak lagi menggunakan garis dasar, klik ikon di sebelah kanan garis dasar untuk menghapusnya. Sistem secara otomatis memeriksa apakah ada akun yang menggunakan garis dasar tersebut. Jika tidak ada akun yang menggunakannya, garis dasar dapat dihapus.
Ubah nama baseline.
1. Klik ikon di sebelah kanan baseline.
2. Di kotak dialog Edit Baseline Property, masukkan nama dan deskripsi.
3. Klik OK.
Tambahkan item baseline.
Item baseline default berikut tidak dapat dihapus: Billing Method, Bind CloudSSO Permissions, dan Guardrails. Anda dapat menambahkan item baru berdasarkan item baseline default.
1. Klik Add Baseline Items.
2. Di kotak dialog Add Baseline Item, pilih item baseline yang ingin ditambahkan dan klik Add.
  Jika Item Baseline A bergantung pada Item Baseline B, Item Baseline B akan otomatis dipilih setelah Anda memilih Item Baseline A. Sebagai contoh, jika Anda memilih Security Group, VPC akan otomatis dipilih.
Konfigurasikan parameter item baseline.
Klik ikon atau di sebelah kanan item garis dasar untuk mengonfigurasi parameter item tersebut.
Klik Save.

Item baseline

Item baseline yang didukung

Item baseline	Deskripsi	Item garis dasar yang bergantung	Referensi
Metode Penagihan (item baseline default)	Anda dapat menentukan akun penagihan untuk anggota di direktori sumber daya Anda. Dengan cara ini, Anda dapat mengelola biaya yang dihasilkan untuk perusahaan Anda secara terpusat.	Tidak didukung	Tidak
Izin Bind CloudSSO (item baseline default)	Anda dapat mengonfigurasi identitas dan izin untuk beberapa anggota di direktori sumber daya. Ini membantu mengurangi risiko yang terkait dengan manajemen identitas dan izin, serta meningkatkan efisiensi manajemen multi-akun.	Tidak ada	Konfigurasikan identitas dan izin
Guardrails (item baseline default)	Anda dapat mengonfigurasi dan mengaktifkan aturan perlindungan Cloud Config untuk semua anggota di direktori sumber daya Anda di Konsol Pusat Tata Kelola Cloud. Anda dapat mengelola aturan perlindungan secara terpusat di Konsol Pusat Tata Kelola Cloud. Ini memastikan bahwa konfigurasi dasar Pusat Tata Kelola Cloud dan struktur sumber daya yang dibuat di Pusat Tata Kelola Cloud tidak dimodifikasi. Ini juga memastikan keamanan lingkungan multi-akun.	Tidak ada	Konfigurasikan aturan perlindungan secara terpusat
Kebijakan Kata Sandi RAM	Anda dapat menentukan persyaratan kompleksitas kata sandi untuk meningkatkan keamanan akun pengguna Resource Access Management (RAM). Aturan kata sandi umum mencakup panjang kata sandi, karakter yang didukung, dan masa berlaku kata sandi.	Tidak ada	Konfigurasikan kebijakan kata sandi untuk pengguna RAM
VPC	Virtual private cloud (VPC) adalah jaringan pribadi di cloud. Setiap VPC terdiri dari blok CIDR, vSwitches, dan daftar kontrol akses (ACL).	Tidak ada	Apa itu VPC?
Grup Keamanan	Grup keamanan digunakan sebagai firewall virtual untuk instance Elastic Compute Service (ECS) untuk mengelola lalu lintas masuk dan keluar.	VPC	Ikhtisar
Kontak Akun	Anda dapat mengonfigurasi kontak untuk akun untuk menerima notifikasi. Alibaba Cloud tidak mengungkapkan atau memberikan informasi kontak kepada pihak ketiga.	Tidak ada	Apa yang harus saya lakukan jika kontak yang ditentukan untuk akun tidak dapat menerima pesan notifikasi terkait keuangan atau layanan Alibaba Cloud?
Pesan	Anda dapat mengonfigurasi penerima untuk setiap jenis pesan. Kami sarankan Anda mengonfigurasi penerima untuk menerima notifikasi penting yang terkait dengan akun, layanan, dan pengecualian. Ini mencegah kerugian bisnis yang disebabkan oleh hilangnya notifikasi.	Kontak Akun	Apa yang harus saya lakukan jika kontak yang ditentukan untuk akun tidak dapat menerima pesan notifikasi terkait keuangan atau layanan Alibaba Cloud?
Aktivasi Layanan	Hanya akun yang memiliki izin administratif yang dapat digunakan untuk mengaktifkan layanan Alibaba Cloud tertentu. Jika Anda masuk sebagai pengguna RAM yang tidak memiliki izin administratif, Anda mungkin gagal mengaktifkan layanan. Untuk mencegah masalah ini, Anda dapat mengonfigurasi item baseline Aktivasi Layanan untuk menentukan layanan Alibaba Cloud yang dipilih yang diaktifkan secara otomatis saat Anda membuat akun. Catatan Peran terkait layanan diperlukan untuk mengaktifkan layanan Alibaba Cloud tertentu. Cloud Governance Center secara otomatis membuat peran terkait layanan yang diperlukan saat Anda mengaktifkan layanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat bagian "Peran terkait layanan yang dibuat secara otomatis saat Anda mengaktifkan layanan Alibaba Cloud tertentu" dari topik ini.	Tidak ada	Apa itu CEN? Apa itu CDT? Apa itu CloudMonitor? Apa Itu Key Management Service? Apa yang harus saya lakukan jika terjadi kesalahan pada langkah aktivasi produk?
Peran RAM	Anda dapat membuat peran RAM untuk akun Alibaba Cloud yang memiliki izin administratif di direktori sumber daya. Akun tersebut, sebagai entitas tepercaya, dapat mengasumsikan peran RAM untuk melakukan pemeliharaan operasional, yang mengurangi risiko.	Tidak ada	Ikhtisar peran RAM
Pasangan Kunci ECS	Dorong pasangan kunci ke akun tertentu. Anda dapat menentukan pasangan kunci saat membuat instance atau mengikat pasangan kunci setelah membuat instance. Kemudian, Anda dapat menggunakan kunci untuk terhubung ke instance.	Tidak ada	Pengenalan pasangan kunci SSH
Gambar Bersama ECS	Gambar bersama dapat diterapkan pada instance ECS yang dimiliki oleh akun berbeda. Anda dapat berbagi gambar dengan akun Alibaba Cloud lainnya.	Tidak ada	Bagikan gambar kustom
Tag yang telah ditentukan sebelumnya	Tag yang telah ditentukan sebelumnya adalah tag yang Anda buat sebelumnya dan tersedia untuk sumber daya di semua wilayah Alibaba Cloud. Anda dapat membuat tag yang telah ditentukan sebelumnya dalam tahap perencanaan tag dan menambahkannya ke sumber daya cloud tertentu dalam tahap implementasi tag.	Tidak ada	Tambahkan tag ke instance ApsaraDB RDS
Pengaturan Keamanan Pengguna RAM	Anda dapat mengelola pengaturan keamanan global pengguna RAM untuk meningkatkan keamanan pengguna RAM. Anda dapat menentukan apakah pengguna RAM diizinkan mengubah kata sandi mereka dan apakah mengaktifkan perangkat autentikasi multi-faktor (MFA), serta menentukan masa berlaku sesi login.	Tidak ada	Kelola pengaturan keamanan pengguna RAM
Konfigurasikan SSO berbasis peran RAM	Anda dapat menerapkan single sign-on (SSO) berbasis peran berdasarkan penyedia identitas Security Assertion Markup Language (SAML) (IdP). SSO berbasis peran memungkinkan perusahaan mengelola pengguna di IdP lokal tanpa perlu menyinkronkan pengguna dari IdP ke Alibaba Cloud. Selain itu, karyawan perusahaan dapat masuk ke Alibaba Cloud menggunakan peran RAM tertentu.	Tidak ada	Kelola IdP SAML

Peran terkait layanan yang dibuat secara otomatis saat Anda mengaktifkan layanan Alibaba Cloud tertentu

Layanan cloud	Pengenal layanan	Peran terkait layanan	Kebijakan Izin
ARMS	arms.aliyuncs.com	AliyunServiceRoleForARMS	AliyunServiceRolePolicyForARMS
NAT Gateway (NAT)	nat.aliyuncs.com	AliyunServiceRoleForNatgw	AliyunServiceRolePolicyForNatgw
EventBridge	source-cms.eventbridge.aliyuncs.com	AliyunServiceRoleForEventBridgeSourceCMS	AliyunServiceRolePolicyForEventBridgeSourceCMS
	connect-vpc.eventbridge.aliyuncs.com	AliyunServiceRoleForEventBridgeConnectVPC	AliyunServiceRolePolicyForEventBridgeConnectVPC
	source-actiontrail.eventbridge.aliyuncs.com	AliyunServiceRoleForEventBridgeSourceActionTrail	AliyunServiceRolePolicyForEventBridgeSourceActionTrail
Data Management (DMS)	dms.aliyuncs.com	AliyunDMSDefaultRole	AliyunDMSRolePolicy
Data Management (DMS)	dms.aliyuncs.com	AliyunServiceRoleForDMS	AliyunServiceRolePolicyForDMS
Data Transmission Service (DTS)	dts.aliyuncs.com	AliyunDTSDefaultRole	AliyunDTSRolePolicy
Data Transmission Service (DTS)	dms.aliyuncs.com	AliyunServiceRoleForDMS	AliyunServiceRolePolicyForDMS
Container Service for Kubernetes (ACK)	cs.aliyuncs.com	AliyunCSDefaultRole	AliyunCSDefaultRolePolicy
		AliyunCSKubernetesAuditRole	AliyunCSKubernetesAuditRolePolicy
		AliyunCSManagedArmsRole	AliyunCSManagedArmsRolePolicy
		AliyunCSManagedCmsRole	AliyunCSManagedCmsRolePolicy
		AliyunCSManagedCsiRole	AliyunCSManagedCsiRolePolicy
		AliyunCSManagedKubernetesRole	AliyunCSManagedKubernetesRolePolicy
		AliyunCSManagedLogRole	AliyunCSManagedLogRolePolicy
		AliyunCSManagedNetworkRole	AliyunCSManagedNetworkRolePolicy
		AliyunCSManagedVKRole	AliyunCSManagedVKRolePolicy
		AliyunCSServerlessKubernetesRole	AliyunCSServerlessKubernetesRolePolicy
		AliyunCSManagedNlcRole	AliyunCSManagedNlcRolePolicy
		AliyunCSManagedAutoScalerRole	AliyunCSManagedAutoScalerRolePolicy
		AliyunCSManagedCsiProvisionerRole	AliyunCSManagedCsiProvisionerRolePolicy
		AliyunCSManagedCsiPluginRole	AliyunCSManagedCsiPluginRolePolicy
	oos.aliyuncs.com	AliyunOOSLifecycleHook4CSRole	AliyunOOSLifecycleHook4CSRolePolicy
Function Compute	fc.aliyuncs.com	AliyunFCDefaultRole	AliyunFCDefaultRolePolicy
Simple Log Service (SLS)	log.aliyuncs.com	AliyunLogArchiveRole	AliyunLogArchiveRolePolicy
Classic Load Balancer (CLB)	slb.aliyuncs.com	SLBLogDefaultRole	AliyunSLBRolePolicy
Classic Load Balancer (CLB)	slb.aliyuncs.com	AliyunSLBHealthDiagnoseRole	AliyunSLBHealthDiagnoseRolePolicy
Microservices Engine (MSE)	mse.aliyuncs.com	AliyunServiceRoleForMSE	AliyunServiceRolePolicyForMSE
VPN Gateway	vpn.aliyuncs.com	AliyunServiceRoleForVpn	AliyunServiceRolePolicyForVpn
Platform for AI (PAI)	pai.aliyuncs.com	AliyunPaiCustomerClusterManagementRole	AliyunPaiCustomerClusterManagementRolePolicy
		AliyunPAIDatasetAccDefaultRole	AliyunPAIDatasetAccDefaultRolePolicy
		AliyunPAIDLCAccessingOSSRole	AliyunPAIDLCAccessingOSSRolePolicy
		AliyunPAIAccessingOSSRole	AliyunPAIAccessingOSSRolePolicy
		AliyunPAIDLCDefaultRole	AliyunPAIDLCDefaultRolePolicy
		AliyunPAIDSWDefaultRole	AliyunPAIDSWDefaultRolePolicy
	langstudio.pai.aliyuncs.com	AliyunPAILangStudioDefaultRole	AliyunPAILangStudioDefaultRolePolicy
	odps.aliyuncs.com	AliyunODPSPAIDefaultRole	AliyunODPSPAIRolePolicy

Operasi terkait

Setelah mengonfigurasi baseline akun, Anda dapat membuat akun menggunakan baseline tersebut. Untuk informasi lebih lanjut, lihat Gunakan Baseline Akun untuk Membuat Akun.