Cloud Firewall memungkinkan Anda mengelola beberapa akun Alibaba Cloud dalam direktori sumber daya berdasarkan layanan tepercaya Direktori Sumber Daya Alibaba Cloud. Setiap akun Alibaba Cloud dalam direktori sumber daya adalah anggota. Anda dapat menentukan anggota sebagai akun administrator yang didelegasikan untuk mengakses sumber daya semua anggota dalam direktori sumber daya. Dengan cara ini, Anda dapat melakukan berbagai operasi pada aset yang menghadap Internet dan virtual private cloud (VPC) secara terpusat, termasuk pengalihan lalu lintas, perlindungan, konfigurasi kebijakan, analisis lalu lintas, pencegahan intrusi, pencegahan serangan, kesadaran pelanggaran, audit log, dan analisis log. Topik ini menjelaskan cara menggunakan fitur manajemen multi-akun.
Informasi latar belakang
Semakin banyak perusahaan bermigrasi ke cloud. Setelah perusahaan membeli sejumlah besar sumber daya cloud, pengelolaan sumber daya, proyek, personel, dan izin menjadi rumit. Akun tunggal tidak lagi memenuhi persyaratan, sehingga sistem multi-akun diperlukan untuk migrasi bisnis ke cloud. Pengguna perusahaan membutuhkan manajemen terpusat sumber daya cloud di beberapa akun, mencakup keamanan, audit kepatuhan, jaringan, dan produk O&M.
Tabel berikut menjelaskan informasi tentang akun. Sebelum menggunakan manajemen multi-akun, disarankan untuk membaca informasi tersebut.
Jenis Akun | Deskripsi | Izin di Sisi Direktori Sumber Daya | Izin di Sisi Cloud Firewall |
Akun Manajemen | Akun manajemen dapat digunakan untuk mengundang akun Alibaba Cloud yang tidak termasuk dalam direktori sumber daya untuk bergabung dengan direktori sumber daya guna manajemen terpusat. | Akun ini dapat digunakan untuk mengelola semua aset perusahaan. | Akun ini dapat digunakan untuk mengelola semua aset yang dilindungi oleh Cloud Firewall. |
Akun Administrator yang Didelegasikan | Akun manajemen direktori sumber daya dapat menentukan anggota dalam direktori sumber daya sebagai akun administrator yang didelegasikan dari layanan tepercaya. Setelah ditentukan sebagai akun administrator yang didelegasikan, anggota tersebut dapat mengakses informasi tentang direktori sumber daya dalam layanan tepercaya, termasuk struktur dan anggotanya, serta mengelola bisnis dalam direktori sumber daya. Catatan Akun administrator yang didelegasikan memisahkan tugas manajemen organisasi dari tugas manajemen bisnis. Akun manajemen direktori sumber daya melaksanakan tugas manajemen organisasi, sedangkan akun administrator yang didelegasikan melaksanakan tugas manajemen bisnis dari layanan tepercaya terkait. | Akun ini dapat digunakan untuk mengelola semua aset perusahaan. | Akun ini dapat digunakan untuk mengelola semua aset yang dilindungi oleh Cloud Firewall. |
Anggota | Setelah akun diundang oleh akun manajemen direktori sumber daya untuk bergabung dengan direktori sumber daya, akun tersebut menjadi anggota direktori sumber daya. | Anggota tersebut hanya dapat mengelola aset yang dimiliki oleh mereka. | Anggota tersebut tidak dapat membeli Cloud Firewall. |
Batasan
Untuk informasi lebih lanjut tentang kuota yang disediakan untuk manajemen multi-akun di setiap edisi Cloud Firewall yang menggunakan metode penagihan berlangganan, lihat Berlangganan.
Fitur ini memungkinkan Anda mengelola hanya sumber daya anggota berikut: firewall internet, firewall VPC, firewall NAT, dan aset yang dilindungi oleh proksi penerus aman.
Anggota yang ditambahkan untuk manajemen terpusat tidak dapat membeli Cloud Firewall. Lalu lintas aset anggota tersebut juga dikelola secara terpusat.
Prasyarat
Edisi Premium, Edisi Enterprise, Edisi Ultimate Cloud Firewall, atau Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian telah dibeli.
Prosedur
Sebelum menggunakan fitur ini, Anda harus mengaktifkan direktori sumber daya, menentukan akun administrator yang didelegasikan, dan mengundang anggota. Kemudian, Anda dapat menambahkan beberapa anggota untuk manajemen terpusat.
Langkah 1: Aktifkan direktori sumber daya
Anda harus menggunakan akun Alibaba Cloud yang telah melewati verifikasi nama asli perusahaan untuk mengaktifkan direktori sumber daya. Akun yang hanya melewati verifikasi nama asli individu tidak dapat mengaktifkan direktori sumber daya. Anda dapat menggunakan dua metode untuk mengaktifkan direktori sumber daya. Akun manajemen yang diperoleh setelah mengaktifkan direktori sumber daya bervariasi berdasarkan metode yang digunakan. Untuk informasi lebih lanjut, lihat Aktifkan Direktori Sumber Daya.
Langkah 2: Undang anggota
Setelah akun Alibaba Cloud diundang untuk bergabung dengan direktori sumber daya, akun tersebut menjadi anggota direktori sumber daya. Anda dapat menentukan anggota yang diundang sebagai akun administrator yang didelegasikan. Untuk informasi lebih lanjut, lihat Undang Akun Alibaba Cloud untuk Bergabung dengan Direktori Sumber Daya.
Jika tidak ada akun yang tersedia untuk diundang, Anda dapat langsung membuat anggota. Untuk informasi lebih lanjut, lihat Buat Anggota.
Langkah 3: Tambahkan akun administrator yang didelegasikan
Akun administrator yang didelegasikan memisahkan tugas manajemen organisasi dari tugas manajemen bisnis. Akun manajemen direktori sumber daya melaksanakan tugas manajemen organisasi, sedangkan akun administrator yang didelegasikan melaksanakan tugas manajemen bisnis dari layanan tepercaya terkait. Ini memenuhi persyaratan terkait keamanan. Anda dapat menambahkan dan menggunakan akun administrator yang didelegasikan untuk mengakses halaman Manajemen Multi-akun Konsol Cloud Firewall dan melakukan operasi manajemen dalam direktori sumber daya. Untuk informasi lebih lanjut, lihat Kelola Akun Administrator yang Didelegasikan.
Langkah 4: Tambahkan anggota
Masuk ke Konsol Cloud Firewall.
Di bilah navigasi sisi kiri, pilih .
Di halaman Multi-account Management, klik Add Member.
Di kotak dialog Add Member, pilih anggota dari bagian Anggota Tersedia dan tambahkan anggota ke bagian Selected Members.
Di bagian Selected Members, pilih anggota yang diperlukan dan klik OK.
Setelah menambahkan beberapa anggota, Anda dapat melihat detail dari setiap akun dan menghapus anggota yang telah ditambahkan di daftar anggota. Detail tersebut mencakup UID dan nama setiap akun. Anda juga dapat melakukan operasi berikut pada halaman Firewall Settings: melihat aset cloud dalam anggota yang ditambahkan, serta mengaktifkan atau menonaktifkan perlindungan untuk aset cloud tersebut.
Secara default, Cloud Firewall dapat mengakses sumber daya anggota setelah ditambahkan. Jika Anda ingin menggunakan firewall VPC untuk melindungi VPC yang terpasang pada instance Cloud Enterprise Network (CEN) dan VPC tersebut dibuat oleh akun Alibaba Cloud yang berbeda dari yang digunakan untuk membeli Cloud Firewall, Anda harus secara manual memberi otorisasi Cloud Firewall untuk mengakses sumber daya cloud dalam akun Alibaba Cloud tempat VPC tersebut berada. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk Mengakses Sumber Daya Cloud Lainnya.
Referensi
Gunakan Cloud Firewall untuk Mengelola Pengguna Perusahaan secara Terpusat