全部产品
Search

搜索本产品

    Security Center:Manajemen multi-akun

    文档中心

    Security Center:Manajemen multi-akun

    更新时间:Nov 20, 2025

    Layanan Pendeteksian dan Tanggapan Ancaman Cloud (CTDR) memanfaatkan fitur manajemen multi-akun dari Resource Directory (RD) untuk mengelola dan menganalisis log keamanan dari seluruh akun Anda secara terpusat. Topik ini menjelaskan cara mengonfigurasi solusi ini guna mendukung deteksi ancaman terpadu, tanggapan terhadap event, serta operasi keamanan.

    Multi-akun ikhtisar

    Jenis akun

    Jenis akun

    Deskripsi

    Tanggung jawab

    Akun manajemen (MA)

    Akun Alibaba Cloud yang telah menyelesaikan verifikasi identitas perusahaan. Akun ini merupakan pembuat dan administrator utama direktori sumber daya, dengan kontrol penuh atas seluruh organisasi.

    Membuat struktur organisasi (direktori sumber daya), mengundang atau membuat anggota, serta menunjuk administrator yang didelegasikan untuk layanan tertentu. Direktori sumber daya memiliki satu dan hanya satu akun manajemen.

    Akun anggota

    Akun Alibaba Cloud yang bergabung ke dalam direktori sumber daya untuk menghosting layanan atau proyek tertentu.

    Menjalankan layanan dalam akunnya sendiri dan mengaktifkan layanan log untuk produk Alibaba Cloud yang diperlukan sesuai dengan kebijakan manajemen.

    Akun administrator yang didelegasikan

    Akun anggota yang ditunjuk oleh akun manajemen untuk menjalankan tugas manajemen dalam layanan Alibaba Cloud tertentu (Security Center dalam topik ini).

    Membeli dan mengonfigurasi layanan CTDR, mengelola dan menganalisis log keamanan dari semua akun anggota yang termasuk dalam cakupan secara terpusat, serta menanggung biaya layanan CTDR dan penyimpanan log.

    Contoh konfigurasi multi-akun

    Saat menggunakan layanan CTDR untuk mengelola data dari beberapa akun Alibaba Cloud, Anda dapat membangun struktur multi-akun berdasarkan skenario berikut.

    • Struktur direktori sumber daya:

      • Akun manajemen: Akun A.

      • Akun anggota: Akun B, C, D, dan E.

    • Rencana manajemen:

      • Akun A mendelegasikan izin administrator ke Akun B.

      • Akun B mengelola integrasi log produk CTDR, konfigurasi deteksi ancaman, dan penanganan event untuk akun C, D, dan E secara terpusat.

    Cara kerja

    Inti dari solusi manajemen multi-akun CTDR adalah delegasi izin dan sentralisasi data. Melalui direktori sumber daya, akun manajemen (MA) mendelegasikan tanggung jawab manajemen keamanan kepada akun anggota yang ditunjuk, yang dikenal sebagai akun administrator yang didelegasikan. Data log dari produk Alibaba Cloud di akun anggota kemudian dikumpulkan secara terpusat ke instans CTDR milik administrator yang didelegasikan untuk dianalisis. Alur kerjanya adalah sebagai berikut:

    1. Pembuatan dan penyimpanan log: Log dari produk Alibaba Cloud di setiap akun anggota, seperti log WAF dan Cloud Firewall, pertama kali ditulis ke Simple Log Service (SLS) dalam akun masing-masing.

    2. Integrasi dan penyimpanan terpusat: Layanan CTDR milik administrator yang didelegasikan menggunakan otorisasi yang diberikan oleh peran terkait layanan untuk membaca data log secara real-time dari SLS akun-akun anggota tersebut.

    3. Analisis terpadu: Setelah semua log dikumpulkan di instans CTDR milik administrator yang didelegasikan, log tersebut digunakan untuk deteksi dan analisis ancaman secara terpadu.

    Cakupan

    • Verifikasi identitas perusahaan: Semua akun, termasuk akun manajemen dan akun anggota, harus dimiliki oleh perusahaan yang sama dan telah menyelesaikan verifikasi identitas.

    • Sumber log yang berlaku: Saat ini, hanya log dari produk Alibaba Cloud yang dapat diintegrasikan.

    Integrasi log multi-akun

    Langkah 1: Beli dan aktifkan CTDR

    Administrator yang didelegasikan membeli dan mengaktifkan layanan CTDR. Untuk informasi lebih lanjut, lihat Membeli dan mengaktifkan CTDR.

    Penting

    • Integrasi log tidak dipengaruhi oleh apakah akun anggota telah mengaktifkan layanan CTDR atau belum.

    • Dalam skenario multi-akun, integrasi log hanya mendukung mode Real-time Consumption. Mode ini tidak menyimpan log mentah secara otomatis. Untuk melakukan pelacakan, audit, atau analisis log, Anda dapat membeli Log Storage Capacity untuk mengaktifkan layanan Log Management.

    Langkah 2: Membuat struktur direktori multi-akun

    1. Mengaktifkan direktori sumber daya

      1. Jika Anda menggunakan fitur direktori sumber daya untuk pertama kalinya, gunakan akun manajemen untuk masuk ke Konsol Resource Management. Di panel navigasi sebelah kiri, pilih Resource Directory > Overview.

      2. Klik Enable Resource Directory dan ikuti petunjuk di layar. Untuk informasi lebih lanjut, lihat Mengaktifkan direktori sumber daya.

    2. Menambahkan akun anggota

      Dalam direktori sumber daya, Anda dapat menambahkan anggota dengan salah satu cara berikut:

    3. Menetapkan administrator yang didelegasikan

      Di panel navigasi sebelah kiri, pilih Resource Directory > Trusted Services. Di baris Security Center, klik Manage di kolom Actions. Tambahkan akun Alibaba Cloud yang Anda gunakan untuk membeli CTDR sebagai akun administrator yang didelegasikan untuk layanan tepercaya tersebut. Untuk informasi lebih lanjut, lihat Menambahkan akun administrator yang didelegasikan.

      Penting

      Setelah Anda menambahkan administrator Security Center, akun tersebut juga menjadi administrator untuk Security Center - Threat Analysis.

      image

    Langkah 3: Menambahkan akun anggota ke CTDR

    1. Masuk ke konsol

      Gunakan akun administrator yang didelegasikan yang memiliki layanan CTDR untuk buka halaman Pengaturan Manajemen Multi-akun di konsol Security Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Menambahkan akun

      1. Di bagian Total Monitored Accounts pada tab Configure, klik Account Management.

      2. Di panel Multi-account Management Settings, pilih akun anggota dari daftar direktori sumber daya untuk ditambahkan ke CTDR, lalu klik OK.

      Penting

      Sistem secara otomatis membuat dua peran terkait layanan untuk akun anggota: AliyunServiceRoleForSasRd dan AliyunServiceRoleForSasCloudSiem. Peran-peran ini memberikan layanan CTDR hak istimewa minimal yang diperlukan untuk mengakses dan mengumpulkan data log dari akun anggota. Untuk informasi lebih lanjut, lihat Peran terkait layanan untuk Security Center.

    Langkah 4: Aktifkan layanan log untuk layanan cloud

    Untuk setiap akun anggota, Anda harus mengaktifkan layanan log untuk produk Alibaba Cloud yang relevan, kecuali Security Center. Untuk informasi lebih lanjut tentang cara mengaktifkan layanan log, lihat Referensi integrasi log produk Alibaba Cloud dengan SLS.

    Penting

    Log alert dari produk keamanan di Logstore pusat layanan Alibaba Cloud, seperti log alert WAF dan log alert Cloud Firewall, secara otomatis dikirimkan ke CTDR. Anda tidak perlu mengaktifkan layanan log untuk produk cloud ini untuk menyelesaikan integrasi.

    Langkah 5: Konfigurasikan integrasi lintas akun

    Integrasi otomatis batch

    CTDR mendukung integrasi batch otomatis log dari produk native Alibaba Cloud di akun anggota. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Menggunakan akun administrator yang didelegasikan dengan layanan CTDR, di panel navigasi sebelah kiri, pilih CTDR > Integration Center.

    2. Menyiapkan integrasi batch

      Klik Batch Associate Settings dan atur parameter seperti dijelaskan di bawah ini.

      • Access Settings:

        • Increment Access: Mempertahankan semua kebijakan akses yang diaktifkan dan hanya menambahkan sumber data dan kebijakan dari konfigurasi saat ini.

        • Full Access: Menimpa dan mengganti semua pengaturan akses yang ada. Kebijakan apa pun yang tidak dipilih dalam konfigurasi saat ini akan dinonaktifkan.

          Peringatan

          Ini adalah operasi penimpaan yang dapat secara tidak sengaja menonaktifkan kebijakan yang sedang berjalan dan menyebabkan gangguan integrasi data. Lakukan dengan hati-hati.

      • Accessible Account: Pilih akun anggota yang akan diintegrasikan.

      • Alibaba Cloud Services: Pilih produk cloud yang akan dihubungkan dan sumber data yang sesuai.

        Catatan

        Untuk menyederhanakan konfigurasi, CTDR menyertakan kebijakan akses yang direkomendasikan. Jika Anda mengklik Use Recommended Policy, sistem secara otomatis memilih sumber data dengan nilai analitik tertinggi untuk produk cloud yang dipilih berdasarkan praktik terbaik. Hal ini membantu Anda mengaktifkan analitik data dengan cepat.

      • Auto-Add New Data Sources: Jika Anda mengaktifkan opsi ini, sistem secara otomatis menyertakan Logstore baru dalam cakupan pengumpulan sumber data saat ini. Anda tidak perlu menambahkannya secara manual.

    3. Konfirmasi dan mulai integrasi data

      Setelah Anda menyelesaikan konfigurasi, klik OK. Sistem secara otomatis melakukan operasi berikut:

      • Integrasi penuh: Secara otomatis mengintegrasikan semua Logstore yang diaktifkan yang terkait dengan sumber data produk cloud yang dipilih dalam akun yang dipilih di SLS.

      • Aktivasi kebijakan: Secara otomatis mengaktifkan kebijakan akses yang sesuai dengan sumber data yang dipilih.

        Penting

        Kebijakan akses baru mungkin memerlukan waktu untuk diterapkan dan diinisialisasi. Harap tunggu hingga proses selesai.

    4. Lihat status integrasi

      1. Kembali ke daftar integrasi, temukan produk yang diinginkan, lalu klik Multi-account Access Settings di kolom Actions.

      2. Di tab Access Policy, klik Multi-account Access di kolom Actions untuk sumber data target guna melihat status integrasinya di halaman detail.

    Integrasi manual

    1. Menggunakan akun administrator yang didelegasikan dengan layanan CTDR, di panel navigasi sebelah kiri, pilih CTDR > Integration Center.

    2. Pilih produk cloud yang akan diintegrasikan lalu klik Multi-account Access Settings di kolom Actions.

      Penting

      Saat ini, integrasi multi-akun hanya mendukung produk Alibaba Cloud.

    3. Di kolom Actions untuk templat kebijakan yang diinginkan, klik Multi-account Access. Panel konfigurasi integrasi akun muncul.

      Catatan

      Di halaman integrasi multi-akun, sistem menyediakan templat kebijakan integrasi preset untuk produk Alibaba Cloud. Anda tidak dapat mengubah templat ini.

    4. Klik Batch Add Account Settings, konfigurasi parameter berikut, lalu klik OK.

      • Accounts: Sistem secara otomatis mengambil semua akun yang dapat dikelola oleh administrator yang didelegasikan saat ini, tidak termasuk akun yang sudah diintegrasikan. Anda dapat memilih beberapa akun.

      • Policy Status: Menentukan apakah kebijakan akan diaktifkan.

    5. Tunggu integrasi: Log dari akun yang baru ditambahkan memerlukan waktu sekitar satu menit untuk diintegrasikan dan ditampilkan di daftar integrasi. Harap tunggu hingga proses selesai.

      Catatan

      Sistem mengidentifikasi informasi Logstore untuk setiap produk cloud menggunakan API kueri log masing-masing produk cloud atau aturan penamaan default untuk Logstore. Sistem kemudian mengambil semua log yang sesuai dengan templat integrasi dari akun anggota yang saat ini diintegrasikan.

    6. Pembuatan sumber data otomatis: Setelah log produk diintegrasikan, sumber data dibuat secara otomatis. Informasi sumber data adalah sebagai berikut:

      Catatan

      Sumber data untuk akun anggota dibuat secara otomatis meskipun kebijakan tidak diaktifkan.

      • Data Source Name: Nama templat integrasi_ID Wilayah_UID akun anggota.

      • Data Source Type: Custom Log Service.

      • Account UID/Username: UID akun anggota dan nama pengguna akun anggota.

    Analisis log multi-akun

    Setelah Anda mengonfigurasi integrasi lintas akun, administrator yang didelegasikan dapat melakukan operasi terpadu berikut terhadap data dari semua akun anggota di konsol CTDR:

    • Deteksi terpadu: Mengonfigurasi aturan deteksi ancaman untuk melakukan deteksi ancaman real-time terhadap data log dari semua akun.

    • Penanganan terpusat: Melihat dan menangani alert dari semua akun anggota secara terpusat di halaman Security Events.

    • Tanggapan otomatis: Membuat playbook otomatis menggunakan Response Orchestration untuk menangani event keamanan lintas akun secara otomatis.

    • Pelacakan global: Melakukan pencarian dan analisis pelacakan terpadu terhadap log mentah dari semua akun anggota menggunakan Manajemen Log.

    Menghapus akun anggota dari integrasi

    Jika Anda tidak lagi perlu mengintegrasikan data log dari akun anggota, Anda dapat membatalkan kebijakan integrasi secara manual.

    Penting

    Membatalkan integrasi tidak menghapus sumber data yang telah dibuat. Jika diperlukan, Anda dapat mengelola sumber data di tab manajemen sumber data.

    1. Di tab Multi-account Access Settings, klik Multi-account Access di kolom Actions untuk templat integrasi.

    2. Di panel konfigurasi integrasi akun baru, nonaktifkan kebijakan lalu klik Remove di kolom Actions untuk akun tersebut.

      image

    3. Hapus sumber data (Opsional)

      Di halaman manajemen sumber data, cari sumber data yang dibuat untuk akun anggota ("Nama templat integrasi_ID Wilayah_UID akun anggota") lalu klik Delete.

      image

    FAQ

    • Mengapa saya tidak dapat menemukan akun yang ingin saya tunjuk sebagai administrator yang didelegasikan? 

      Periksa hal berikut:

      • Keanggotaan akun: Pastikan akun tersebut telah berhasil ditambahkan sebagai anggota ke direktori sumber daya Anda.

      • Identitas operasional: Pastikan Anda masuk sebagai akun manajemen. Hanya akun manajemen yang memiliki izin untuk menunjuk administrator yang didelegasikan.

    • Status integrasi log menunjukkan "Gagal" atau "Tidak Ada Data" dalam waktu lama. Bagaimana cara memecahkan masalah ini?

      • Log tidak diaktifkan di akun anggota: Hubungi pemilik akun anggota untuk memastikan bahwa layanan log untuk produk Alibaba Cloud yang sesuai telah diaktifkan dan mengirimkan log ke SLS. Ini merupakan prasyarat untuk pengumpulan data.

      • Cakupan manajemen CTDR: Di konsol Security Center milik administrator yang didelegasikan, buka System Settings > Multi-account Management dan pastikan akun anggota dipilih serta termasuk dalam cakupan manajemen.

      • Peran terkait layanan: Di konsol RAM akun anggota, di halaman Roles, periksa apakah dua peran terkait layanan, AliyunServiceRoleForSasRd dan AliyunServiceRoleForSasCloudSiem, telah berhasil dibuat. Jika belum dibuat, coba hapus akun anggota dari CTDR lalu tambahkan kembali untuk memicu pembuatannya.

      • Penundaan integrasi: Integrasi memerlukan waktu untuk diinisialisasi. Harap tunggu hingga proses selesai.