Saat menggunakan akses produk cloud, hanya instans produk cloud di bawah Akun Alibaba Cloud Anda saat ini yang dapat di-onboard secara default. Untuk meng-onboard instans produk cloud dari akun Alibaba Cloud lainnya, konfigurasikan manajemen multi-akun agar akun target dikelola dalam sistem Web Application Firewall (WAF) saat ini, sehingga memungkinkan manajemen konfigurasi akses dan perlindungan terpadu lintas akun.
Lingkup
Persyaratan edisi: Hanya edisi WAF Enterprise dan Ultimate yang mendukung manajemen multi-akun. Edisi lain tidak mendukung fitur ini.
Persyaratan verifikasi: Untuk mengaktifkan direktori sumber daya, Anda harus menggunakan Akun Alibaba Cloud yang telah menyelesaikan verifikasi tipe perusahaan.
Afiliasi akun: Akun manajemen dan akun anggota harus berada dalam direktori sumber daya yang sama serta berada di bawah entitas perusahaan terverifikasi yang sama.
Batasan instans: Tidak diperbolehkan adanya instans WAF yang sedang berjalan di bawah akun anggota. Jika ada, Anda harus melepasnya sebelum melakukan onboarding.
Batasan dan aturan manajemen setelah onboarding
Batasan pembelian instans: Setelah akun anggota di-onboard, akun tersebut tidak dapat membeli instans WAF di wilayah yang sama dengan akun manajemen. Misalnya, jika akun manajemen telah membeli instans WAF Tiongkok daratan, akun anggota tidak dapat membeli instans Tiongkok daratan tetapi dapat membeli instans di luar Tiongkok daratan.
Batasan izin Konsol: Setelah aset produk cloud milik akun anggota di-onboard ke instans WAF akun manajemen, akun anggota hanya dapat melihat konfigurasi perlindungan, ikhtisar, dan laporan keamanan di Konsol WAF akun manajemen.
Penghapusan aset otomatis: Jika akun manajemen menghapus akun anggota di Konsol WAF, sistem secara otomatis akan menghapus aset produk cloud yang telah di-onboard untuk perlindungan di bawah akun anggota tersebut.
Prosedur
Langkah 1: Akun manajemen mengaktifkan direktori sumber daya
Sebelum menggunakan manajemen multi-akun, Anda harus mengonsolidasikan semua Akun Alibaba Cloud perusahaan Anda ke dalam satu direktori sumber daya. Gunakan akun manajemen perusahaan Anda untuk login ke Konsol Resource Management dan aktifkan direktori sumber daya. Untuk langkah-langkah detail, lihat Aktifkan Resource Directory.
Langkah 2: Undang anggota
Setelah pihak yang diundang berhasil bergabung ke direktori sumber daya, pihak tersebut menjadi anggota direktori sumber daya dan dikelola secara terpusat oleh direktori sumber daya.
Gunakan akun manajemen untuk login ke Konsol Resource Management dan bangun struktur organisasi Anda dengan mengundang akun yang sudah ada atau membuat akun baru.
Undang akun yang sudah ada: Untuk langkah-langkah detail, lihat Undang Akun Alibaba Cloud.
Buat akun anggota baru: Jika tidak perlu mengundang akun anggota, Anda dapat langsung membuat anggota baru di direktori sumber daya. Untuk langkah-langkah detail, lihat Buat anggota.
Bangun struktur organisasi: Jika Anda perlu mengklasifikasikan dan mengelola anggota berdasarkan hubungan bisnis, lihat Buat folder.
Langkah 3: Tambahkan akun administrator yang didelegasikan (opsional)
Jika Anda tidak ingin akun utama yang mengaktifkan direktori sumber daya langsung mengaktifkan dan mengelola layanan WAF, Anda dapat menyiapkan akun administrator yang didelegasikan untuk memisahkan tugas manajemen organisasi dari tugas manajemen bisnis, sesuai dengan praktik keamanan terbaik. Jika Anda berencana menerapkan WAF langsung di bawah akun yang mengaktifkan direktori sumber daya, lewati langkah ini.
Contoh rencana penggunaan akun:
Akun utama: Bertanggung jawab untuk membuat direktori sumber daya, mengelola dana, dan izin pengguna global.
Akun keamanan (akun anggota): Berperan sebagai administrator yang didelegasikan untuk mengelola secara terpusat produk keamanan seperti WAF, Cloud Firewall, dan Bastionhost.
Akun bisnis (akun anggota): Seperti Akun Bisnis 1, Akun Bisnis 2, dan seterusnya, digunakan untuk menerapkan sumber daya bisnis aktual seperti Instance ECS.
Untuk langkah-langkah detail, lihat Kelola akun administrator yang didelegasikan.
Langkah 4: Tambahkan akun anggota di Konsol WAF
Gunakan salah satu akun berikut untuk login ke konsol:
Jika belum ada administrator WAF yang didelegasikan, gunakan akun manajemen yang membuat direktori sumber daya.
Jika administrator WAF telah didelegasikan, gunakan akun anggota yang didelegasikan.
-
Login ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.
Di panel navigasi sebelah kiri, klik Multi-account Management..
Di halaman Multi-account Management, klik Add Member.
Di kotak dialog Add Member, pilih akun anggota yang akan diimpor dari daftar Available Members di sebelah kiri, gunakan tombol panah di tengah untuk menambahkannya ke daftar Selected Members di sebelah kanan, lalu klik OK.
Langkah 5: Onboard aset produk cloud dari akun anggota
Lakukan operasi onboarding yang sesuai berdasarkan jenis aset produk cloud:
Untuk produk cloud Application Load Balancer (ALB), Classic Load Balancer (CLB), Network Load Balancer (NLB), dan Elastic Compute Service (ECS), aset dapat disinkronkan secara otomatis ke akun penerapan WAF. Login ke konsol akun penerapan WAF untuk menyelesaikan onboarding aset akun anggota.
Untuk Microservices Engine (MSE) - Cloud-native Gateway, Cloud-native API Gateway, Global Accelerator (GA), dan Function Compute, pertama login ke konsol produk terkait di akun anggota untuk menyelesaikan onboarding, lalu lihat detailnya di konsol akun penerapan WAF.
Untuk operasi onboarding detail, lihat Ikhtisar.
FAQ
Apa alternatif yang tersedia jika saya tidak dapat mengonfigurasi manajemen multi-akun?
Jika Anda tidak dapat mengonfigurasi manajemen multi-akun, Anda dapat menggunakan akses CNAME sebagai alternatif. Metode ini mendukung onboarding nama domain yang dapat diakses publik dan tidak dibatasi oleh lingkungan cross-account atau cross-cloud.