全部产品
Search

搜索本产品

    Security Center:Manajemen multi-akun

    文档中心

    Security Center:Manajemen multi-akun

    更新时间:Jan 17, 2026

    Layanan Agentic SOC memanfaatkan fitur manajemen multi-akun dari Resource Directory (RD) untuk mengelola dan menganalisis log keamanan dari seluruh akun Anda secara terpusat. Topik ini menjelaskan cara mengonfigurasi solusi ini guna mendukung deteksi ancaman terpadu, respons terhadap event, dan operasi keamanan.

    Gambaran umum Multi-akun

    Jenis akun

    Jenis akun

    Deskripsi

    Tanggung jawab

    Management account (MA)

    Akun Alibaba Cloud yang telah menyelesaikan verifikasi identitas perusahaan. Akun ini merupakan pembuat dan administrator utama direktori sumber daya, dengan full control atas seluruh organisasi.

    Membuat struktur organisasi (resource directory), mengundang atau membuat anggota, serta menunjuk akun administrator yang didelegasikan untuk layanan tertentu. Satu resource directory hanya memiliki satu management account.

    Member account

    Akun Alibaba Cloud yang bergabung ke dalam resource directory untuk menjalankan layanan atau proyek tertentu.

    Menjalankan layanan dalam akunnya sendiri dan mengaktifkan layanan log untuk produk Alibaba Cloud yang diperlukan sesuai kebijakan manajemen.

    Delegated administrator account

    Member account yang ditunjuk oleh management account untuk menjalankan tugas manajemen pada layanan Alibaba Cloud tertentu (Security Center dalam topik ini).

    Membeli dan mengonfigurasi layanan Agentic SOC, mengelola serta menganalisis log keamanan dari seluruh akun anggota yang termasuk dalam cakupan secara terpusat, serta menanggung biaya layanan Agentic SOC dan penyimpanan log.

    Contoh konfigurasi multi-akun

    Saat menggunakan layanan Agentic SOC untuk mengelola data dari beberapa akun Alibaba Cloud, Anda dapat membangun struktur multi-akun berdasarkan skenario berikut.

    • Struktur resource directory:

      • Management account: Akun A.

      • Member accounts: Akun B, C, D, dan E.

    • Rencana manajemen:

      • Akun A mendelegasikan izin administrator kepada Akun B.

      • Akun B mengelola integrasi log produk Agentic SOC, konfigurasi deteksi ancaman, dan penanganan event untuk akun C, D, dan E secara terpusat.

    image

    Cara kerja

    Inti dari solusi manajemen multi-akun Agentic SOC adalah delegasi izin dan sentralisasi data. Melalui resource directory, management account (MA) mendelegasikan tanggung jawab manajemen keamanan kepada member account yang ditunjuk, yaitu delegated administrator account. Data log dari produk Alibaba Cloud di member accounts kemudian dikumpulkan secara terpusat ke instans Agentic SOC milik delegated administrator untuk dianalisis. Alur kerjanya sebagai berikut:

    1. Generasi dan penyimpanan log: Log dari produk Alibaba Cloud di setiap member account, seperti log WAF dan Cloud Firewall, pertama kali ditulis ke Simple Log Service (SLS) di masing-masing akun.

    2. Integrasi dan penyimpanan terpusat: Layanan Agentic SOC milik delegated administrator menggunakan otorisasi yang diberikan oleh service-linked roles untuk membaca data log secara real-time dari SLS akun-akun anggota tersebut.

    3. Analisis terpadu: Setelah semua log terkumpul di instans Agentic SOC milik delegated administrator, log tersebut digunakan untuk deteksi dan analisis ancaman secara terpadu.

    Cakupan

    • Verifikasi identitas perusahaan: Semua akun, termasuk management account dan member accounts, harus berasal dari perusahaan yang sama dan telah menyelesaikan verifikasi identitas.

    • Sumber log yang didukung: Saat ini, hanya log dari produk Alibaba Cloud yang dapat diintegrasikan.

    Integrasi log multi-akun

    Langkah 1: Beli dan aktifkan Agentic SOC

    Delegated administrator membeli dan mengaktifkan layanan Agentic SOC. Untuk informasi lebih lanjut, lihat Beli dan aktifkan Agentic SOC.

    Penting

    • Integrasi log tidak dipengaruhi oleh apakah member accounts telah mengaktifkan layanan Agentic SOC atau tidak.

    • Dalam skenario multi-akun, integrasi log hanya mendukung mode Real-time Consumption. Mode ini tidak menyimpan log mentah secara otomatis. Untuk melakukan pelacakan, audit, atau analisis log, Anda dapat membeli Log Storage Capacity guna mengaktifkan layanan Log Management.

    Langkah 2: Buat struktur direktori multi-akun

    1. Aktifkan resource directory

      1. Jika Anda menggunakan fitur resource directory untuk pertama kalinya, gunakan management account untuk login ke Resource Management console. Di panel navigasi sebelah kiri, pilih Resource Directory > Overview.

      2. Klik Enable Resource Directory dan ikuti petunjuk di layar. Untuk informasi lebih lanjut, lihat Aktifkan resource directory.

    2. Tambah akun anggota

      Di resource directory, Anda dapat menambahkan anggota dengan salah satu cara berikut:

      • Buat anggota: Di panel navigasi sebelah kiri, pilih Resource Directory > Create Member Account untuk membuat resource account. Untuk informasi lebih lanjut, lihat Buat anggota.

      • Undang anggota: Pilih Resource Directory > Invite Member untuk menambahkan akun Alibaba Cloud lain ke dalam resource directory. Untuk informasi lebih lanjut, lihat Undang akun Alibaba Cloud untuk bergabung ke resource directory.

    3. Tetapkan delegated administrator

      Di panel navigasi sebelah kiri, pilih Resource Directory > Trusted Services. Di baris Security Center, klik Manage di kolom Actions. Tambahkan akun Alibaba Cloud yang digunakan untuk membeli Agentic SOC sebagai delegated administrator account untuk layanan tepercaya tersebut. Untuk informasi lebih lanjut, lihat Tambahkan delegated administrator account.

      Penting

      Setelah Anda menambahkan administrator Security Center, akun tersebut juga menjadi administrator untuk Security Center - Threat Analysis.

      image

    Langkah 3: Tambahkan member accounts ke Agentic SOC

    1. Login ke konsol

      Gunakan delegated administrator account yang telah memiliki layanan Agentic SOC untuk mengakses halaman Pengaturan Manajemen Multi-akun di konsol Security Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Tambahkan akun

      1. Di bagian Total Monitored Accounts pada tab Configure, klik Account Management.

      2. Di panel Multi-account Management Settings, pilih member accounts dari daftar resource directory untuk ditambahkan ke Agentic SOC, lalu klik OK.

      Penting

      Sistem secara otomatis membuat dua service-linked roles untuk member accounts: AliyunServiceRoleForSasRd dan AliyunServiceRoleForSasCloudSiem. Peran-peran ini memberikan hak istimewa minimal yang diperlukan bagi layanan Agentic SOC untuk mengakses dan mengumpulkan data log dari member accounts. Untuk informasi lebih lanjut, lihat Service-linked roles untuk Security Center.

    Langkah 4: Aktifkan layanan log untuk layanan cloud

    Untuk setiap member account, Anda harus mengaktifkan layanan log untuk produk Alibaba Cloud terkait, kecuali Security Center. Untuk informasi lebih lanjut tentang cara mengaktifkan layanan log, lihat Referensi integrasi log produk Alibaba Cloud dengan SLS.

    Penting

    Log alert dari produk keamanan di Logstore pusat layanan Alibaba Cloud, seperti log alert WAF dan log alert Cloud Firewall, secara otomatis dikirimkan ke Agentic SOC. Anda tidak perlu mengaktifkan layanan log untuk produk cloud ini guna menyelesaikan integrasi.

    Langkah 5: Konfigurasi integrasi cross-account

    Integrasi otomatis batch

    Agentic SOC mendukung integrasi otomatis batch log dari produk native Alibaba Cloud di member accounts. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Menggunakan delegated administrator account yang memiliki layanan Agentic SOC, di panel navigasi sebelah kiri, pilih Agentic SOC > Integration Center.

    2. Atur integrasi batch

      Klik Batch Associate Settings dan atur parameter seperti dijelaskan di bawah ini.

      • Access Settings:

        • Increment Access: Mempertahankan semua kebijakan akses yang telah diaktifkan dan hanya menambahkan sumber data serta kebijakan dari konfigurasi saat ini.

        • Full Access: Menimpa dan mengganti seluruh pengaturan akses yang ada. Kebijakan apa pun yang tidak dipilih dalam konfigurasi saat ini akan dinonaktifkan.

          Peringatan

          Ini adalah operasi overwrite yang berpotensi menonaktifkan kebijakan yang sedang berjalan secara tidak sengaja dan menyebabkan gangguan integrasi data. Lakukan dengan hati-hati.

      • Accessible Account: Pilih member accounts yang akan diintegrasikan.

      • Alibaba Cloud Services: Pilih produk cloud yang akan dihubungkan beserta sumber datanya yang sesuai.

        Catatan

        Untuk menyederhanakan konfigurasi, CTDR menyertakan kebijakan akses yang direkomendasikan. Jika Anda mengklik Use Recommended Policy, sistem secara otomatis memilih sumber data dengan nilai analitik tertinggi untuk produk cloud yang dipilih berdasarkan praktik terbaik. Hal ini membantu Anda mengaktifkan analitik data dengan cepat.

      • Auto-Add New Data Sources: Jika Anda mengaktifkan opsi ini, sistem secara otomatis menyertakan Logstore baru ke dalam cakupan pengumpulan sumber data saat ini. Anda tidak perlu menambahkannya secara manual.

    3. Konfirmasi dan mulai integrasi data

      Setelah konfigurasi selesai, klik OK. Sistem secara otomatis melakukan operasi berikut:

      • Integrasi penuh: Secara otomatis mengintegrasikan semua Logstore yang diaktifkan dan terkait dengan sumber data produk cloud yang dipilih di dalam akun yang dipilih di SLS.

      • Aktivasi kebijakan: Secara otomatis mengaktifkan kebijakan akses yang sesuai dengan sumber data yang dipilih.

        Penting

        Kebijakan akses baru mungkin memerlukan waktu untuk diterapkan dan diinisialisasi. Harap tunggu hingga proses selesai.

    4. Lihat status integrasi

      1. Kembali ke daftar integrasi, temukan produk yang diinginkan, lalu klik Multi-account Access Settings di kolom Actions.

      2. Di tab Access Policy, klik Multi-account Access di kolom Actions untuk sumber data target guna melihat status integrasinya di halaman detail.

    Integrasi manual

    1. Menggunakan delegated administrator account yang memiliki layanan Agentic SOC, di panel navigasi sebelah kiri, pilih Agentic SOC > Integration Center.

    2. Pilih produk cloud yang akan diintegrasikan lalu klik Multi-account Access Settings di kolom Actions.

      Penting

      Saat ini, integrasi multi-akun hanya mendukung produk Alibaba Cloud.

    3. Di kolom Actions untuk templat kebijakan yang diinginkan, klik Multi-account Access. Panel konfigurasi integrasi akun akan muncul.

      Catatan

      Di halaman integrasi multi-akun, sistem menyediakan templat kebijakan integrasi preset untuk produk Alibaba Cloud. Anda tidak dapat mengubah templat ini.

    4. Klik Batch Add Account Settings, konfigurasi parameter berikut, lalu klik OK.

      • Accounts: Sistem secara otomatis mengambil semua akun yang dapat dikelola oleh delegated administrator saat ini, kecuali akun yang sudah diintegrasikan. Anda dapat memilih beberapa akun.

      • Policy Status: Menentukan apakah kebijakan akan diaktifkan atau tidak.

    5. Tunggu integrasi: Log dari akun yang baru ditambahkan memerlukan waktu sekitar satu menit untuk diintegrasikan dan ditampilkan di daftar integrasi. Harap tunggu hingga proses selesai.

      Catatan

      Sistem mengidentifikasi informasi Logstore untuk setiap produk cloud menggunakan API kueri log masing-masing produk cloud atau aturan penamaan default untuk Logstore. Sistem kemudian mengambil semua log yang sesuai dengan templat integrasi dari member accounts yang saat ini diintegrasikan.

    6. Pembuatan sumber data otomatis: Setelah log produk diintegrasikan, sumber data dibuat secara otomatis. Informasi sumber data adalah sebagai berikut:

      Catatan

      Sumber data untuk member account dibuat secara otomatis meskipun kebijakan tidak diaktifkan.

      • Data Source Name: Nama templat integrasi_ID Wilayah_UID akun anggota.

      • Data Source Type: Custom Log Service.

      • Account UID/Username: UID akun anggota dan username akun anggota.

    Analisis log multi-akun

    Setelah Anda mengonfigurasi integrasi cross-account, delegated administrator dapat melakukan operasi terpadu berikut terhadap data dari seluruh member accounts di konsol Agentic SOC:

    • Deteksi terpadu: Konfigurasikan aturan deteksi ancaman untuk melakukan deteksi ancaman real-time terhadap data log dari seluruh akun.

    • Penanganan terpusat: Lihat dan tangani alert dari seluruh member accounts secara terpusat di halaman Security Events.

    • Respons otomatis: Buat playbook otomatis menggunakan Response Orchestration untuk menangani event keamanan cross-account secara otomatis.

    • Pelacakan global: Lakukan pencarian dan analisis pelacakan terpadu terhadap log mentah dari seluruh member accounts menggunakan Log Management.

    Hapus member accounts dari integrasi

    Jika Anda tidak lagi memerlukan integrasi data log dari suatu member account, Anda dapat membatalkan kebijakan integrasi secara manual.

    Penting

    Pembatalan integrasi tidak menghapus sumber data yang telah dibuat. Jika diperlukan, Anda dapat mengelola sumber data tersebut di tab manajemen sumber data.

    1. Di tab Multi-account Access Settings, klik Multi-account Access di kolom Actions untuk templat integrasi.

    2. Di panel konfigurasi integrasi akun baru, nonaktifkan kebijakan lalu klik Remove di kolom Actions untuk akun tersebut.

      image

    3. Hapus sumber data (Opsional)

      Di halaman manajemen sumber data, cari sumber data yang dibuat untuk member account ("Nama templat integrasi_ID Wilayah_UID akun anggota") lalu klik Delete.

      image

    FAQ

    • Mengapa saya tidak dapat menemukan akun yang ingin saya tunjuk sebagai delegated administrator? 

      Periksa hal berikut:

      • Keanggotaan akun: Pastikan akun tersebut telah berhasil ditambahkan sebagai anggota ke resource directory Anda.

      • Identitas operasional: Pastikan Anda login sebagai management account. Hanya management account yang memiliki izin untuk menunjuk delegated administrator.

    • Status integrasi log menunjukkan "Failed" atau "No Data" dalam waktu lama. Bagaimana cara memperbaikinya?

      • Log tidak diaktifkan di member account: Hubungi pemilik member account untuk memastikan bahwa layanan log untuk produk Alibaba Cloud yang sesuai telah diaktifkan dan mengirimkan log ke SLS. Ini merupakan prasyarat untuk pengumpulan data.

      • Cakupan manajemen Agentic SOC: Di konsol Security Center milik delegated administrator, navigasikan ke System Settings > Multi-account Management dan pastikan member account tersebut dipilih serta termasuk dalam cakupan manajemen.

      • Service-linked roles: Di konsol RAM milik member account, di halaman Roles, periksa apakah dua service-linked roles, AliyunServiceRoleForSasRd dan AliyunServiceRoleForSasCloudSiem, telah berhasil dibuat. Jika belum dibuat, coba hapus member account dari Agentic SOC lalu tambahkan kembali untuk memicu pembuatannya.

      • Delay integrasi: Integrasi memerlukan waktu untuk diinisialisasi. Harap tunggu hingga proses selesai.