Untuk pelanggan enterprise yang mengelola beberapa Akun Alibaba Cloud dengan sumber daya yang memerlukan perlindungan Web Application Firewall (WAF), fitur Layanan Tepercaya dari Resource Management memungkinkan administrasi terpusat. Dengan mengonsolidasikan beberapa akun ke dalam Direktori Sumber Daya—di mana setiap akun bertindak sebagai akun anggota—dan mendelegasikan salah satu anggota sebagai Administrator WAF, Anda dapat memberikan akses ke sumber daya cloud di seluruh akun anggota. Hal ini memungkinkan pengelolaan terpadu untuk onboarding dan konfigurasi keamanan WAF. Topik ini menjelaskan cara menerapkan manajemen terpadu multi-akun.
Batasan
Manajemen multi-akun hanya tersedia untuk edisi WAF Enterprise dan Ultimate.
Akun manajemen dan semua akun anggota harus berada dalam Direktori Sumber Daya yang sama serta terdaftar di bawah entitas enterprise terverifikasi yang sama.
Jika akun manajemen memiliki instans WAF aktif di Tiongkok daratan, akun anggota tidak dapat membeli instans WAF mereka sendiri di Tiongkok daratan. Namun, mereka dapat membeli instans WAF di luar Tiongkok daratan. Jika akun anggota sudah memiliki instans WAF yang sedang berjalan, Anda harus melepasnya sebelum menyiapkan manajemen multi-akun.
Setelah sumber daya cloud akun anggota di-onboard ke instans WAF akun administrator yang didelegasikan, Anda hanya dapat melihat Konfigurasi Perlindungan, Ikhtisar, dan Laporan Keamanan dari konsol WAF akun administrator yang didelegasikan.
Ketika administrator yang didelegasikan menghapus akun anggota di konsol WAF, sistem secara otomatis mencabut perlindungan untuk sumber daya cloud anggota tersebut.
Proses konfigurasi
Sebelum menggunakan fitur manajemen multi-akun, Anda harus terlebih dahulu mengaktifkan Direktori Sumber Daya dan mengundang akun untuk bergabung sebagai anggota. Selanjutnya, tunjuk salah satu anggota sebagai administrator WAF yang didelegasikan. Setelah itu, Anda dapat menggunakan fitur ini di konsol WAF untuk menambahkan akun anggota dan mengelola sumber daya cloud mereka secara terpusat.
Langkah 1: Aktifkan Direktori Sumber Daya
Untuk menggunakan fitur manajemen multi-akun, Anda harus terlebih dahulu mengonsolidasikan akun Alibaba Cloud perusahaan Anda ke dalam Direktori Sumber Daya. Untuk informasi selengkapnya tentang Direktori Sumber Daya, lihat Apa itu Direktori Sumber Daya.
Masuk ke Konsol Resource Management dengan akun manajemen Anda untuk mengaktifkan Direktori Sumber Daya. Untuk detailnya, lihat Aktifkan Direktori Sumber Daya.
Langkah 2: Undang akun anggota
Saat suatu akun menerima undangan untuk bergabung ke Direktori Sumber Daya, akun tersebut menjadi anggota yang dikelola secara terpusat. Anda kemudian dapat memilih dari akun-akun ini saat menetapkan administrator yang didelegasikan.
Masuk ke Konsol Resource Management dengan akun manajemen Anda untuk mengundang akun dan membangun struktur organisasi Anda. Untuk petunjuk lengkapnya, lihat Buat folder dan Undang Akun Alibaba Cloud untuk bergabung ke Direktori Sumber Daya.
Jika Anda tidak memiliki akun yang dapat diundang, buat akun anggota baru secara langsung. Untuk petunjuk lengkapnya, lihat Buat anggota.
Langkah 3: Tetapkan administrator yang didelegasikan
Administrator yang didelegasikan memisahkan tugas manajemen organisasi dari tugas spesifik layanan. Akun manajemen menangani tugas organisasi untuk Direktori Sumber Daya, sedangkan akun administrator yang didelegasikan mengelola layanan tepercaya. Pendekatan ini sejalan dengan praktik keamanan terbaik. Gunakan akun administrator yang didelegasikan ini untuk mengakses fitur manajemen multi-akun di WAF dan melakukan operasi manajemen untuk semua anggota dalam Direktori Sumber Daya. Untuk petunjuk lengkapnya, lihat Kelola akun administrator yang didelegasikan.
Langkah 4: Tambahkan akun anggota
Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.
Di panel navigasi kiri, klik Multi-account Management.
Pada halaman Multi-account Management, klik Add Member.
Pada kotak dialog Add Member, pilih akun anggota yang akan diimpor dan tambahkan ke daftar Selected Members di sebelah kanan.
Pada daftar Selected Members di sebelah kanan, pilih akun anggota target dan klik OK.
Langkah 5: Onboard sumber daya cloud dari akun anggota
Metode onboarding bervariasi tergantung pada jenis sumber daya cloud.
Sumber daya cloud | Metode onboarding |
Application Load Balancer (ALB) | Onboard melalui konsol ALB akun anggota. Setelah onboarding, lihat instans tersebut di daftar ALB konsol WAF (mode cloud native). |
Server Load Balancer (CLB) (HTTP/HTTPS) | Sumber daya secara otomatis disinkronkan ke administrator yang didelegasikan. Selesaikan onboarding melalui konsol WAF administrator yang didelegasikan. |
CLB (TCP) | Sumber daya secara otomatis disinkronkan ke administrator yang didelegasikan. Selesaikan onboarding melalui konsol WAF administrator yang didelegasikan. |
Elastic Compute Service (ECS) | Sumber daya secara otomatis disinkronkan ke administrator yang didelegasikan. Selesaikan onboarding melalui konsol WAF administrator yang didelegasikan. |
Microservices Engine (MSE) | Onboard melalui konsol MSE akun anggota. Setelah onboarding, lihat instans tersebut di daftar MSE konsol WAF (mode cloud native). |
Function Compute (FC) | Tambahkan melalui Konsol FC akun anggota. Setelah ditambahkan, lihat instans di daftar FC (mode cloud native) pada Konsol WAF. |
Serverless App Engine (SAE) | Onboard melalui konsol SAE akun anggota. Setelah onboarding, lihat instans tersebut di daftar SAE konsol WAF (mode cloud native). |
Network Load Balancer (NLB) | Sumber daya disinkronkan secara otomatis ke administrator yang didelegasikan. Selesaikan orientasi melalui Konsol WAF administrator yang didelegasikan. |
API Gateway | Onboard melalui konsol APIG akun anggota. Setelah onboarding, lihat instans tersebut di daftar API Gateway konsol WAF (mode cloud native). |