Aktifkan Delegated Admin untuk Manajemen Keamanan Multi-Akun - Security Center

Anda dapat menggunakan fitur manajemen multi-akun Security Center untuk membeli produk keamanan secara terpusat, mengonfigurasi pengaturan perlindungan keamanan, serta menangani risiko keamanan di beberapa Akun Alibaba Cloud dalam perusahaan Anda. Anda juga dapat memantau status risiko keamanan setiap akun anggota secara real-time. Topik ini menjelaskan cara menggunakan fitur manajemen multi-akun.

Skenario multi-akun

Konfigurasi keamanan dan manajemen risiko terpusat

Manajemen terpusat konfigurasi dan risiko keamanan
Akun anggota mempertahankan data dan konfigurasi yang independen. Anda dapat menggunakan akun administrator yang didelegasikan Security Center untuk mengelola konfigurasi keamanan secara terpusat di beberapa akun anggota, menangani risiko keamanan, dan menerapkan penguatan keamanan. Hal ini meningkatkan efisiensi operasional serta mengatasi tantangan dalam mengelola operasi keamanan lintas akun.
Ingesti log lintas akun, penyimpanan, dan analisis ancaman
Dengan fitur Agentic SOC Security Center, Anda dapat mengingesti data dari akun anggota ke akun administrator yang didelegasikan untuk penyimpanan dan analisis terpusat. Hal ini membantu mengidentifikasi risiko keamanan lintas akun serta memberikan perspektif global terhadap event keamanan.

Pembayaran terpadu dan otorisasi bersama

Administrator yang didelegasikan dapat membeli kuota otorisasi untuk berbagai fitur Security Center dan mengalokasikan kuota tersebut ke akun anggota tanpa perlu pembelian tambahan. Hal ini memungkinkan perusahaan membeli fitur Security Center secara terpusat, sehingga mempermudah penyelesaian biaya internal.

Penting

Anda tidak dapat mengalokasikan kuota ke akun anggota yang telah membeli instans Security Center. Untuk mengalokasikan kuota, akun anggota harus membatalkan instans langganan dan mematikan instans pay-as-you-go-nya.
Anda dapat menggunakan fitur finance trusteeship untuk mengonsolidasikan pembayaran seluruh produk cloud di seluruh akun anggota perusahaan Anda. Untuk informasi lebih lanjut, lihat Ikhtisar Trusteeship.
Untuk keamanan akun, gunakan administrator yang didelegasikan Security Center, bukan akun manajemen, untuk membeli kuota.

Contoh sistem multi-akun

Ahli keamanan dapat menggunakan akun keamanan (administrator yang didelegasikan Security Center) untuk mengelola secara terpusat Akun Alibaba Cloud untuk produksi dan pengujian di dalam perusahaan. Hal ini memungkinkan deteksi risiko, penanganan risiko, dan penguatan keamanan yang terpadu, sehingga meningkatkan efisiensi operasi keamanan. Jika perusahaan Anda memiliki skenario multi-akun yang kompleks, Anda dapat mengajukan ticket untuk mendapatkan dukungan teknis.

Prasyarat

Direktori sumber daya telah diaktifkan.
Anda telah membuat anggota baru di direktori sumber daya atau mengundang pengguna Alibaba Cloud yang sudah ada untuk bergabung.

Langkah 1: Tambahkan akun administrator yang didelegasikan

Akun manajemen direktori sumber daya dapat menunjuk anggota sebagai administrator yang didelegasikan untuk layanan tepercaya. Setelah ditetapkan, administrator yang didelegasikan menerima otorisasi dari akun manajemen dan dapat mengakses informasi organisasi serta anggota direktori sumber daya dalam layanan tepercaya tersebut, serta mengelola operasi bisnis dalam organisasi tersebut.

Login ke Konsol Resource Management menggunakan akun manajemen.
Di panel navigasi kiri, pilih Resource Directory > Trusted Services.
Di halaman Trusted Services, temukan Security Center dan klik Manage di kolom Actions.
Di bagian Delegated Administrator Accounts pada halaman yang muncul, klik Add.
Di panel Add Delegated Administrator Account, pilih anggota yang ingin Anda tetapkan sebagai administrator yang didelegasikan, lalu klik OK.
Setelah akun berhasil ditambahkan, Anda dapat menggunakan akun administrator yang didelegasikan ini untuk mengakses fitur manajemen multi-akun Security Center dan melakukan pengelolaan dalam organisasi.
Catatan
Anda dapat menambahkan hingga 10 akun administrator yang didelegasikan Security Center.

Langkah 2: Konfigurasi cakupan pengelolaan akun

Anda dapat menggunakan administrator yang didelegasikan untuk mengelola akun anggota secara terpusat. Ikuti langkah-langkah berikut untuk mengonfigurasi cakupan akun anggota yang dapat dikelola oleh administrator yang didelegasikan.

Penting

Administrator yang didelegasikan hanya dapat melihat dan mengelola akun anggota dalam cakupan yang ditetapkan. Mereka tidak dapat mengakses akun anggota yang dikelola oleh administrator yang didelegasikan lainnya. Jika cakupan pengelolaan akun dikonfigurasi oleh akun manajemen, hanya akun manajemen yang dapat melihat dan mengelola akun anggota dalam cakupan tersebut.
Satu akun anggota hanya dapat ditetapkan ke satu administrator yang didelegasikan dalam satu waktu.

Gunakan akun administrator yang didelegasikan untuk masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi kiri, pilih System Settings > Multi-account Management.
(Wajib bagi pengguna pertama kali) Di halaman Multi-account Management, klik Enable Management in Security Center.
Di tab Configure, di bagian Total Monitored Accounts, klik Account Management.
Di panel Multi-account Management Settings, pilih akun anggota yang ingin dikelola oleh akun saat ini.
(Opsional) Aktifkan Automatic Management of New Accounts untuk menetapkan kebijakan pengelolaan akun baru.
Setelah opsi ini diaktifkan, klik Configure Policy, pilih node direktori sumber daya target, lalu klik OK. Akun baru yang ditambahkan ke node direktori sumber daya yang dipilih akan secara otomatis ditambahkan ke daftar pengelolaan.
Klik OK.
Anda dapat melihat akun anggota dalam cakupan pengelolaan di tab Configure.

Langkah 3: (Opsional) Alokasikan kuota otorisasi

Perusahaan dapat menggunakan akun administrator yang didelegasikan untuk membeli kuota secara terpusat untuk fitur-fitur tertentu dengan langganan dan mengalokasikannya ke akun anggota.

Batasan

Hanya akun administrator yang didelegasikan yang dapat mengalokasikan kuota langganan Security Center ke akun anggota yang dikelolanya. Akun anggota tersebut tidak boleh memiliki instans langganan Security Center yang aktif atau layanan pay-as-you-go yang diaktifkan, kecuali deteksi tanpa agen (agentless detection) dan perlindungan aset Serverless. Tabel berikut mencantumkan fitur-fitur yang dapat dialokasikan.

Feature	Minimum allocation quota and increment	Note
Host and container security Ultimate edition server quota Enterprise edition server quota Advanced edition server quota Anti-virus edition server quota	Minimum: 1 server or 1 core Increment: 1 server or 1 core	Instans Security Center pay-as-you-go tidak mendukung penyelesaian terpadu atau alokasi kuota. Fitur-fitur berikut tidak mendukung alokasi kuota: Vulnerability fixing Agentless detection (pay-as-you-go only) Serverless asset protection (pay-as-you-go only) Catatan Ketika akun anggota dengan kuota yang dialokasikan perlu menggunakan kemampuan vulnerability fixing, Anda dapat mengalokasikan kuota Edisi Advanced, Enterprise, atau Ultimate kepada mereka dan menyambungkannya ke server yang sesuai. Edisi-edisi ini memungkinkan perbaikan kerentanan tanpa batas. Edisi Anti-virus tidak mendukung vulnerability fixing. Ketika akun anggota dengan kuota yang dialokasikan perlu menggunakan agentless detection dan Serverless asset protection, mereka dapat mengaktifkan layanan pay-as-you-go yang sesuai.
Anti-ransomware capacity	Minimum: 10 GB Increment: 10 GB Catatan Setelah membeli layanan anti-ransomware terkelola, kapasitas anti-ransomware yang dialokasikan ke akun anggota akan menggunakan kemampuan anti-ransomware terkelola secara default.
Managed anti-ransomware
Log analysis capacity	Minimum: 10 GB Increment: 10 GB
Container image scan	Minimum: 20 scans Increment: 20 scans
Application protection	Minimum: 1 master process Increment: 1 master process
Cloud honeypot	Minimum: 20 probe Increment: 20 probe
Web tamper proofing	Minimum: 1 server Increment: 1 server
CSPM	Minimum: 15.000 times Increment: 55.000 times
SDK for malicious file detection	Minimum: 100.000 times Increment: 100.000 times
Agentic SOC - Traffic of adding logs	Minimum: 100 GB Increment: 100 GB
Agentic SOC - Log storage capacity	Minimum: 1000 GB Increment: 1000 GB

Lihat dan beli kuota

Gunakan akun administrator yang didelegasikan untuk login ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di halaman Overview, di bagian Subscription, lihat kuota untuk instans Anda.
Bagian ini menampilkan semua fitur dan kuota yang telah Anda beli. Sebagai contoh, seperti yang ditunjukkan pada gambar, Anti-ransomware (GB) menampilkan 132.9/150, di mana 150 menunjukkan total kuota kapasitas anti-ransomware sebesar 150 GB yang dibeli untuk Akun Alibaba Cloud saat ini, dan 132,9 menunjukkan kapasitas anti-ransomware yang telah digunakan oleh akun saat ini (termasuk wilayah China dan Outside China).
Untuk membeli kuota tambahan, klik Buy Now atau Upgrade.
Untuk informasi selengkapnya, lihat Membeli Instans berbasis langganan dan Meningkatkan dan menurunkan spesifikasi.

Alokasikan kuota

Gunakan akun administrator yang didelegasikan untuk login ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di halaman Overview, di bagian Subscription, klik Multi-account Management.
Anda juga dapat membuka halaman Configure di System Configuration > Multi-account Management, lalu klik Quota Management di bawah Total Monitored Accounts.
Di halaman Multi-account Quota Management, klik Add Account.
Di kotak dialog Add Account, pilih akun anggota yang ingin Anda alokasikan kuotanya, lalu klik OK.
- Anda hanya dapat memberikan kuota kepada akun anggota yang dikelola oleh akun administrator yang didelegasikan saat ini. Anda tidak dapat memberikan otorisasi kepada akun anggota yang tidak dikelola atau akun anggota yang dikelola oleh administrator yang didelegasikan lainnya.
- Anda hanya dapat memilih akun anggota yang belum membeli instans Security Center langganan dan belum mengaktifkan layanan pay-as-you-go untuk fitur bernilai tambah apa pun, kecuali deteksi tanpa agen (agentless detection) dan perlindungan aset Serverless.
Di bagian Quota Management, alokasikan kuota ke akun anggota.
Di bagian Purchased Quota, lihat fitur dan kuota yang dibeli oleh akun saat ini.
Akun pertama yang ditampilkan di bagian Quota Management menunjukkan sisa kuota yang dapat dialokasikan oleh akun saat ini. Baris ini tidak dapat diedit, dan kuota yang tidak dialokasikan secara otomatis ditetapkan ke akun saat ini. Saat mengalokasikan kuota untuk fitur tertentu ke akun anggota, total kuota yang dialokasikan tidak boleh melebihi jumlah yang awalnya ditampilkan di baris pertama kolom tersebut. Setelah Anda mengalokasikan kuota ke akun anggota, angka di baris pertama akan berkurang secara otomatis. Untuk informasi tentang kuota minimum dan increment, lihat Limits.
Klik Save.
Setelah mengalokasikan kuota server ke akun anggota, sistem secara otomatis mengikat kuota yang dialokasikan ke server akun anggota tersebut secara acak, dengan tujuan memanfaatkan seluruh kuota. Kuota tambahan yang dialokasikan ke akun anggota di kemudian hari tidak akan secara otomatis diikat ke server; Anda harus beralih ke akun anggota tersebut dan mengikat kuota tambahan tersebut secara manual. Untuk informasi lebih lanjut, lihat Manage host and container security authorizations.

Langkah 4: Kelola konfigurasi dan risiko untuk akun anggota

Ikhtisar risiko

Lihat ikhtisar risiko untuk akun anggota
Di tab Overview pada halaman System Configuration > Multi-account Management, Anda dapat melihat statistik untuk akun anggota dalam cakupan pengelolaan Anda, termasuk skor keamanan, jumlah aset yang berisiko, peringatan keamanan, kerentanan, dan masalah baseline. Hal ini membantu mengidentifikasi akun anggota dengan risiko keamanan signifikan.
Di tab Configure pada halaman System Configuration > Multi-account Management, Anda dapat melihat statistik mengenai risiko keamanan di akun anggota.
Lihat informasi risiko detail untuk akun anggota
Di pojok kiri atas Konsol Security Center, alihkan ke akun anggota. Kemudian, Anda dapat melihat operasi keamanan untuk akun tersebut di halaman ikhtisar. Untuk informasi lebih lanjut, lihat Overview (new).

Kelola konfigurasi dan risiko untuk akun anggota

Gunakan akun administrator yang didelegasikan untuk login ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi kiri, pilih System Settings > Multi-account Management.
Di tab Configure, klik Settings di kolom Actions untuk akun anggota.
Di panel Settings, konfigurasikan pengaturan agen, pemindaian kerentanan, dan baseline untuk akun anggota, lalu klik OK.
- Agent Management: Konfigurasikan kemampuan pertahanan keamanan dan pengaturan peringatan.
- Vulnerabilities: Konfigurasikan pengaturan pemindaian kerentanan untuk akun anggota. Untuk deskripsi parameter, lihat Scan for vulnerabilities.
- Baseline Check: Konfigurasikan kebijakan pemeriksaan baseline untuk akun anggota. Untuk deskripsi parameter, lihat Configure and execute baseline check policies.
Di pojok kiri atas konsol, alihkan ke akun anggota untuk mengakses konsol akun anggota tersebut.
Setelah beralih ke konsol akun anggota, akun administrator yang didelegasikan dapat melakukan inventaris aset, deteksi risiko, penguatan keamanan, perlindungan real-time, serta deteksi dan tanggapan proaktif. Untuk informasi lebih lanjut tentang fitur Security Center, lihat Features.

Operasi tambahan

Petunjuk penggunaan kuota yang dialokasikan

Setelah administrator yang didelegasikan Security Center mengalokasikan kuota ke akun anggota, akun tersebut dapat menggunakan kuota yang dialokasikan. Jika kuota tidak mencukupi, akun anggota dapat menghubungi akun manajemen untuk meminta alokasi tambahan. Akun anggota tidak dapat membeli, memperpanjang, atau meningkatkan spesifikasi instans Security Center. Administrator yang didelegasikan atau akun anggota dapat merujuk pada petunjuk di bawah ini untuk menggunakan kuota berbagai fitur secara efektif dan menghindari pemborosan.

Manage host and container quotas: Lihat dan kelola kuota perlindungan server di halaman Overview atau Host di konsol. Kuota ini mencakup kuota server Edisi Ultimate, Enterprise, Advanced, dan Anti-virus.
Anti-ransomware: Buat kebijakan perlindungan untuk backup file data inti server atau database. Panduan:
- Anti-ransomware for servers
- Anti-ransomware for databases
Log analysis: Semua tipe log dikirimkan secara default. Tidak diperlukan operasi manual.
Penting
Akun administrator yang didelegasikan tidak dapat menggunakan fitur log analysis akun anggota dengan beralih akun di pojok kiri atas konsol. Akun anggota perlu login ke konsol sendiri untuk menggunakan fitur log analysis.
Container image scan: Setelah melakukan pemindaian gambar, kuota yang sesuai digunakan untuk mendeteksi risiko keamanan dalam gambar tersebut.
Application protection: Aplikasi perlu ditambahkan ke fitur application protection.
Cloud honeypot: Lakukan penangkapan serangan dengan men-deploy cloud honeypot di server.
Web tamper proofing: Tambahkan perlindungan ke server untuk mencegah situs web disuntikkan informasi ilegal dan memastikan operasi situs web berjalan normal.
CSPM: Konfigurasikan kebijakan pemeriksaan risiko konfigurasi layanan cloud, kebijakan pemeriksaan risiko baseline sistem, dan aturan pemindaian jalur serangan untuk menerapkan deteksi postur keamanan cloud.
SDK for Malicious file detection: Deteksi file berbahaya dengan memanggil SDK di server untuk memeriksa file offline atau dengan memeriksa file yang disimpan di OSS di Konsol Security Center.
Agentic SOC log storage capacity: Aktifkan pengiriman log Security Center dan log terstandarisasi.
Agentic SOC - Traffic of adding logs: Tambahkan log layanan cloud ke Agentic SOC.

Hapus akun anggota

Login dengan akun administrator yang didelegasikan dan buka tab Configure di halaman System Configuration > Multi-account Management. Klik Delete di kolom Actions untuk akun anggota guna menghapusnya.

Penting

Setelah kuota dialokasikan ke akun anggota, menghapus akun anggota beserta kuotanya juga akan menghapus kuota tersebut. Seluruh aset di bawah akun anggota akan kehilangan perlindungan, sistem secara otomatis melepaskan seluruh kuota, dan log akan dihapus. Harap berhati-hati.

Hapus kuota untuk akun anggota

Login dengan akun administrator yang didelegasikan dan buka halaman Overview. Di bagian Subscription, klik Multi-account Management. Di bagian Quota Management, arahkan pointer ke nama akun, klik ikon , lalu klik OK di kotak dialog konfirmasi.

Referensi

Jika Anda menggunakan Agentic SOC 1.0 dan mengelola beberapa akun melalui administrator yang didelegasikan Security Center - Threat Analysis, lihat Centrally manage multiple accounts untuk petunjuk operasi terkait.
Jika akun anggota yang berotorisasi perlu membeli Security Center secara mandiri, lihat How can an authorized member account independently purchase Security Center?