All Products
Search

This Product

    Data Security Center:Gunakan fitur manajemen multi-akun

    Document Center

    Data Security Center:Gunakan fitur manajemen multi-akun

    Last Updated:Jul 06, 2025

    Data Security Center (DSC) menyediakan fitur manajemen multi-akun. Anda dapat menggunakan fitur ini untuk mengelola aset data, objek data, dan log audit dari beberapa akun Alibaba Cloud secara terpusat. Dengan cara ini, Anda dapat melakukan tugas-tugas manajemen keamanan data seperti identifikasi otomatis data sensitif, klasifikasi data, serta pemantauan dan peringatan terhadap ancaman keamanan potensial secara efisien. Topik ini menjelaskan cara menggunakan fitur manajemen multi-akun.

    Istilah

    Sebelum menggunakan DSC untuk mengelola aset data dari beberapa akun Alibaba Cloud secara terpusat, Anda harus memahami istilah-istilah berikut.

    Istilah

    Deskripsi

    Layanan

    akun manajemen

    Akun manajemen adalah akun Alibaba Cloud yang telah lulus verifikasi nama asli perusahaan. Setelah Anda menggunakan akun Alibaba Cloud ini untuk mengaktifkan direktori sumber daya, akun tersebut menjadi akun manajemen dari direktori sumber daya. Akun manajemen adalah administrator super dari direktori sumber daya. Akun ini memiliki semua izin administratif pada direktori sumber daya dan folder serta anggota di dalamnya. Setiap direktori sumber daya hanya memiliki satu akun manajemen.

    Untuk memastikan keamanan akun manajemen, kami menyarankan Anda melakukan operasi berikut:

    • Gunakan akun Alibaba Cloud tanpa sumber daya sebagai akun manajemen untuk mengaktifkan direktori sumber daya.

    • Buat Pengguna Resource Access Management (RAM) untuk akun manajemen dan lampirkan kebijakan AliyunResourceDirectoryFullAccess kepada pengguna RAM tersebut. Kemudian, gunakan pengguna RAM tersebut untuk mengelola direktori sumber daya.

    Catatan

    Akun manajemen tidak termasuk dalam direktori sumber daya dan tidak dibatasi oleh kebijakan kontrol akses direktori sumber daya.

    Resource Management

    Folder Root

    Folder Root adalah folder induk dari semua folder lainnya dalam direktori sumber daya. Folder-folder ini diatur dalam hierarki yang dimulai dari Folder Root.

    folder

    Folder adalah unit organisasi dalam direktori sumber daya. Sebuah folder mungkin menunjukkan cabang, jalur bisnis, atau proyek dari sebuah perusahaan. Setiap folder dapat berisi anggota dan subfolder, yang membentuk struktur organisasi berbentuk pohon.

    anggota

    Anggota bisa berupa akun sumber daya atau akun cloud. Anggota yang dibuat dalam direktori sumber daya adalah akun sumber daya. Akun sumber daya digunakan untuk mengisolasi sumber daya proyek atau aplikasi di Alibaba Cloud dari sumber daya lainnya. Anda dapat mengundang akun Alibaba Cloud yang ada untuk bergabung dengan direktori sumber daya Anda. Setelah pemilik akun Alibaba Cloud menerima undangan, akun tersebut menjadi anggota direktori sumber daya. Anggota-anggota ini adalah akun cloud.

    akun administrator yang didelegasikan

    Akun manajemen direktori sumber daya dapat digunakan untuk menentukan anggota dalam direktori sumber daya sebagai akun administrator yang didelegasikan layanan tepercaya, seperti DSC. Setelah anggota ditentukan sebagai akun administrator yang didelegasikan layanan tepercaya, anggota tersebut dapat digunakan untuk mengakses informasi tentang direktori sumber daya dalam layanan tepercaya. Informasi tersebut mencakup struktur dan anggota direktori sumber daya. Anggota tersebut juga dapat digunakan untuk mengelola bisnis dalam direktori sumber daya.

    anggota DSC

    Akun administrator yang didelegasikan dapat mengonfigurasi anggota dalam direktori sumber daya sebagai anggota dalam DSC. Kemudian, akun administrator yang didelegasikan dapat mengakses sumber daya cloud dari anggota dalam DSC.

    DSC

    Batasan

    Hanya edisi berbayar DSC yang mendukung fitur manajemen multi-akun.

    Contoh

    Anda dapat merujuk pada proses berikut untuk membangun sistem multi-akun dan menggunakan akun administrator yang didelegasikan DSC untuk mengelola aset data dari beberapa akun Alibaba Cloud.

    Skenario: Akun Alibaba Cloud A, B, C, D, dan E termasuk dalam direktori sumber daya yang sama. Akun Alibaba Cloud A adalah akun manajemen direktori sumber daya, dan akun lainnya adalah anggota direktori sumber daya. Akun Alibaba Cloud A menentukan Akun Alibaba Cloud B sebagai akun administrator yang didelegasikan DSC. Akun Alibaba Cloud B dapat mengelola aset data Akun Alibaba Cloud B, C, D, dan E secara terpusat dan menggunakan fitur-fitur DSC seperti perlindungan data sensitif, pemeriksaan baseline, audit data, dan masking data. Anda dapat menggunakan pengguna RAM Akun Alibaba Cloud B untuk mengelola aset data hanya dari Akun Alibaba Cloud D dan E yang berwenang dalam DSC.

    Catatan penggunaan

    Kategori

    Deskripsi

    Verifikasi multi-akun

    Akun Alibaba Cloud yang menggunakan fitur manajemen multi-akun dan akun Alibaba Cloud yang dikelola harus berada dalam direktori sumber daya yang sama dan milik entitas perusahaan yang sama. Entitas perusahaan harus lulus verifikasi nama asli perusahaan.

    Pembelian DSC

    • Beli DSC dengan menggunakan anggota yang ditentukan sebagai akun administrator yang didelegasikan.

      Anda harus menggunakan akun manajemen untuk menentukan anggota sebagai akun administrator yang didelegasikan layanan tepercaya DSC. Kemudian, Anda dapat menggunakan akun administrator yang didelegasikan untuk menambahkan akun Alibaba Cloud yang ingin Anda kelola sebagai anggota DSC di konsol DSC. Pastikan bahwa akun Alibaba Cloud yang ingin Anda kelola belum membeli DCS. Akun administrator yang didelegasikan ini dapat mengelola aset data anggota secara terpusat.

      Untuk informasi lebih lanjut, lihat Langkah 1: Konfigurasikan akun administrator yang didelegasikan DSC dan Langkah 2: Tambahkan anggota dalam DSC.

    • Anggota yang telah membeli DSC tidak dapat ditambahkan sebagai anggota DSC. Akun Alibaba Cloud yang ditambahkan sebagai anggota DSC tidak dapat membeli atau menggunakan DSC.

    Pengelolaan anggota berdasarkan level

    Akun administrator yang didelegasikan dapat mengelola semua anggota secara terpusat dan membuat pengguna RAM untuk mengonfigurasi izin yang lebih rinci. Akun administrator yang didelegasikan dapat menggunakan pengguna RAM untuk mengelola anggota berdasarkan level sesuai dengan jalur direktori sumber daya folder dalam direktori sumber daya.

    Untuk informasi lebih lanjut, lihat Otorisasi pengguna RAM untuk mengelola anggota.

    Penggunaan fitur

    • Aset data yang ditambahkan ke anggota DSC tidak mendukung mode pengumpulan lalu lintas (agen).

    • Aset AnalyticDB for PostgreSQL dari anggota dalam DSC tidak mendukung fitur yang disediakan oleh DSC.

    Biaya anggota

    Saat fitur identifikasi data dan audit keamanan diaktifkan untuk aset anggota, anggota membayar biaya untuk membaca data dan menyimpan log audit dalam layanan database tertentu. Untuk informasi lebih lanjut, lihat Biaya tambahan untuk aset database yang terhubung ke DSC.

    Prasyarat

    • Direktori sumber daya diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan Direktori Sumber Daya.

    • Anggota dibuat dalam direktori sumber daya, atau akun Alibaba Cloud yang ada diundang untuk bergabung dengan direktori sumber daya. Untuk informasi lebih lanjut, lihat Buat Anggota dan Undang Akun Alibaba Cloud untuk Bergabung dengan Direktori Sumber Daya.

      Jika Anda ingin menggunakan pengguna RAM untuk mengelola anggota berdasarkan folder sumber daya, Anda harus terlebih dahulu membuat folder sumber daya dan kemudian membuat akun Alibaba Cloud di folder sumber daya atau mengundang akun Alibaba Cloud untuk bergabung dengan folder sumber daya. Untuk informasi lebih lanjut, lihat Buat Folder.

    • Akun administrator yang didelegasikan telah membeli edisi berbayar DSC. Untuk informasi lebih lanjut, lihat Beli DSC.

    Langkah 1: Konfigurasikan akun administrator yang didelegasikan DSC

    Akun manajemen direktori sumber daya dapat digunakan untuk menentukan anggota dalam direktori sumber daya sebagai akun administrator yang didelegasikan layanan tepercaya. Setelah anggota ditentukan sebagai akun administrator yang didelegasikan layanan tepercaya, anggota tersebut dapat digunakan untuk mengakses informasi tentang direktori sumber daya dalam layanan tepercaya. Informasi tersebut mencakup struktur dan anggota direktori sumber daya. Anggota tersebut juga dapat digunakan untuk mengelola bisnis dalam direktori sumber daya.

    1. Masuk ke Konsol Manajemen Sumber Daya menggunakan akun manajemen direktori sumber daya.

    2. Di panel navigasi kiri, pilih Resource Directory > Trusted Services.

    3. Di halaman Trusted Services, temukan Data Security Center (DSC) dan klik Manage di kolom Actions.

    4. Di bagian Delegated Administrator Accounts dari halaman yang muncul, klik Add.

    5. Di bagian Akun Administrator yang Didelegasikan, klik Tambah. Di panel Add Delegated Administrator Account, tentukan akun Alibaba Cloud yang digunakan untuk membeli DSC sebagai akun administrator yang didelegasikan dan klik OK.

      Setelah akun administrator yang didelegasikan ditentukan, Anda dapat menggunakan fitur manajemen multi-akun DSC menggunakan akun administrator yang didelegasikan.

    Langkah 2: Tambahkan anggota dalam DSC

    Otorisasi pengguna RAM untuk mengelola anggota tertentu

    Catatan

    Jika Anda menggunakan akun administrator yang didelegasikan untuk menambahkan anggota ke DSC, lewati langkah ini.

    1. Masuk ke Konsol RAM menggunakan akun administrator yang didelegasikan dan buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    2. Buat kebijakan kustom untuk mengotorisasi pengguna RAM mengelola anggota tertentu.

      1. Di panel navigasi kiri Konsol RAM, pilih Permissions > Policies.

      2. Di halaman Policies, klik Create Policy.

      3. Di halaman Create Policy, klik tab JSON.

      4. Masukkan konten kebijakan kustom Anda.

        Salin konten kebijakan berikut dan konfigurasikan elemen Condition. Pengguna RAM dapat menambahkan (yundun-sddp:AddMultiAccountMembers) atau menghapus (yundun-sddp:DeleteMultiAccountMembers) anggota di halaman Manajemen Multi-Akun di konsol DSC.

        Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan Sintaks Kebijakan.

        Otorisasi pengguna RAM untuk mengelola anggota tertentu

        Tetapkan parameter acs:RDManageScope dari StringNotEquals dalam Condition ke jalur direktori sumber daya (RDPath) folder yang diperlukan dalam direktori sumber daya di halaman Direktori Sumber Daya ditambah UID anggota.

        image

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/163XXXXXX1494597"
                    ]
                }
            }
        }
    ]
}

        Otorisasi pengguna RAM untuk mengelola anggota folder tertentu

        Tetapkan parameter acs:RDManageScope dari StringNotLike dalam Condition ke jalur direktori sumber daya (RDPath) folder yang diperlukan dalam direktori sumber daya di halaman Direktori Sumber Daya ditambah /*.

        image

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotLike": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/fd-BrXXXXXXM4/*"
                    ]
                }
            }
        }
    ]
}

      5. Klik OK.

      6. Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description dan klik OK.

      7. Klik Grant Permission.

      8. Di halaman Grant Permission, cari dan pilih pengguna RAM, pilih kebijakan kustom yang Anda buat untuk pengguna RAM tersebut, lalu klik Grant permissions. Lalu, klik Close.

    Tambahkan anggota

    1. Masuk ke Konsol DSC menggunakan akun administrator yang didelegasikan atau pengguna RAM yang diberi otorisasi oleh akun administrator yang didelegasikan.

    2. Di panel navigasi kiri, klik Multi-account Management.

    3. Pertama kali Anda menggunakan fitur manajemen multi-akun, klik Enable Multi-account Management.

      Operasi ini memperbarui status layanan tepercaya DSC menjadi Aktif.

    4. Klik Add Member.

    5. Di kotak dialog Add Member, pilih anggota yang ingin Anda kelola dan klik OK.

      Jika anggota berada di luar cakupan kebijakan pengguna RAM, sistem akan mengembalikan pesan tidak ada izin.

    Langkah 3: Kelola aset anggota

    Akun administrator yang didelegasikan atau pengguna RAM yang diberi otorisasi oleh akun administrator yang didelegasikan dapat mengelola aset data akun dan anggota akun setelah anggota ditambahkan di konsol DSC. Bagian berikut menjelaskan cara mengelola aset anggota di halaman Otorisasi Aset.

    Catatan

    Anda tidak dapat mengelola aset menggunakan UID di halaman tertentu, seperti halaman Overview. Informasi di konsol DSC yang berlaku.

    1. Masuk ke Konsol DSC.

    2. Di panel navigasi kiri, pilih Overview.

    3. Di tab Authorization Management, kelola aset dalam akun Alibaba Cloud menggunakan UID.

      image

    Hapus anggota dalam DSC

    Jika Anda tidak lagi perlu mengelola semua aset anggota, Anda dapat menghapus anggota tersebut. Setelah Anda menghapus anggota, semua data anggota di konsol DSC akan otomatis dihapus.

    1. Masuk ke Konsol DSC.

    2. Di panel navigasi kiri, pilih Overview.

    3. Cabut izin dari anggota yang ingin Anda hapus. Untuk informasi lebih lanjut, lihat Cabut Izin dari Aset.

    5. Di halaman Multi-account Management, temukan anggota yang ingin Anda hapus dan klik Delete di kolom Tindakan.

      Jika Anda menggunakan pengguna RAM yang diberi otorisasi oleh akun administrator yang didelegasikan untuk menghapus anggota yang berada di luar cakupan kebijakan pengguna RAM, sistem akan merespons dengan pesan tidak ada izin.

    6. Di pesan Hapus, klik Delete.

    Tanya Jawab Umum

    Jika DSC dibeli untuk beberapa akun Alibaba Cloud dalam perusahaan saya, bagaimana cara menggunakan satu akun untuk manajemen terpusat?

    Anda tidak dapat mengelola anggota yang telah membeli DSC menggunakan akun yang berbeda. Jika Anda ingin mengelola sumber daya anggota dari akun yang berbeda, Anda harus berhenti berlangganan DSC untuk anggota tersebut dan menggunakan akun manajemen atau akun administrator yang didelegasikan untuk menambahkan anggota sebagai anggota DSC.

    Untuk informasi lebih lanjut, lihat Kebijakan Pengembalian Dana.

    Apa yang harus saya lakukan jika DSC tidak dapat diaktifkan untuk akun saat ini?

    Jika Anda menerima pesan yang menunjukkan bahwa akun saat ini tidak dapat digunakan untuk mengaktifkan DSC saat Anda mengakses konsol DSC, Anda tidakdapat menggunakan akun tersebut untuk menggunakan DSC karena akun manajemen atau akun administrator yang didelegasikan telah menambahkan akun ini sebagai anggota DSC. Dalam hal ini, Anda dapat menggunakan salah satu metode berikut untuk menggunakan DSC:

    • Metode 1: Masuk ke konsol DSC menggunakan akun manajemen atau akun administrator yang didelegasikan direktori sumber daya dan gunakan fitur manajemen multi-akun untuk menambahkan sumber daya akun saat ini ke DSC.

    • Metode 2: Hubungi akun manajemen atau akun administrator yang didelegasikan direktori sumber daya untuk menghapus akun saat ini di halaman Manajemen Multi-Akun konsol DSC. Kemudian, gunakan akun saat ini untuk membeli dan menggunakan DSC.

    Referensi