リソースディレクトリの管理アカウントを使用して、リソースディレクトリのメンバーを ActionTrail の委任管理者アカウントとして指定できます。委任管理者アカウントには管理アカウントと同じ権限が付与され、マルチアカウントトレイルの作成に使用できます。マルチアカウントトレイルは、リソースディレクトリのすべてのメンバーのイベントを一元管理するために、メンバーの Simple Log Service Logstore または Object Storage Service (OSS) バケットに配信します。
前提条件
リソースディレクトリが有効になっています。詳細については、「リソースディレクトリを有効にする」をご参照ください。
メンバーはリソースディレクトリで作成されるか、リソースディレクトリへの参加に招待されます。詳細については、「メンバーを作成する」および「Alibaba Cloud アカウントをリソースディレクトリに参加するように招待する」をご参照ください。
シナリオ
ActionTrail の委任管理者アカウントを使用すると、組織管理と監査管理を IT インフラストラクチャから分離できます。これは、ビジネスのクラウドセキュリティ管理にとって不可欠です。
デフォルトでは、リソースディレクトリの管理アカウントは、企業のスーパー管理者として機能します。IT 管理のベストプラクティスを実現するために、リソース構成管理ではなく、リソースディレクトリの組織管理にのみ管理アカウントを使用することをお勧めします。これにより、過剰な権限を持つ管理アカウントを使用して誤操作が行われるのを防ぎます。委任管理者アカウントを使用して、企業のグローバル管理操作を実行できます。たとえば、管理アカウントを使用して、メンバーを ActionTrail の委任管理者アカウントとして指定し、委任管理者アカウントを企業の監査部門に割り当てることができます。このようにして、監査部門は委任管理者アカウントを使用して、一元監査と分析のためにイベントを収集できます。このタイプの管理は、企業の業務分担に準拠しています。
マルチアカウント管理のベストプラクティスを実現するために、ActionTrail の委任管理者アカウントを指定して、次の要件を満たすことをお勧めします。
専用のアカウントが管理アカウントの代わりに監査イベントを収集、管理、分析します。
専用のアカウントが管理アカウントの代わりに ActionTrail の構成を管理します。これにより、管理アカウントの過剰使用を防ぎます。
委任管理者アカウントの詳細については、「委任管理者アカウントの管理」をご参照ください。
委任管理者アカウントを追加する
リソースディレクトリのメンバーを ActionTrail の委任管理者アカウントとして指定して、イベントを監査できます。このアカウントは、監査構成の管理とクラウドでの監査イベントの保存にのみ使用されます。その他のリソースはこのアカウント内に保持されません。このようにして、権限管理、監査管理、リソース管理の職務が異なるアカウントに割り当てられ、クラウドセキュリティが向上します。ActionTrail の委任管理者アカウントは、リソースディレクトリのすべてのメンバーのイベントを特定の Simple Log Service Logstore または OSS バケットに配信するマルチアカウントトレイルを作成するために使用されます。イベントは、委任管理者アカウント内の Simple Log Service Logstore または OSS バケットに配信することをお勧めします。別のメンバーの Simple Log Service Logstore または OSS バケットを指定してイベントを保存することもできます。委任管理者アカウントを使用して、トレイルの構成を管理し、リソースディレクトリのすべてのメンバーのイベントを保存し、長期的に監査イベントの分析結果に基づいてアラート通知を送信できます。
ActionTrail の委任管理者アカウントには、次の権限が付与されます。
ActionTrail でリソースディレクトリの構造とメンバーに関する情報を表示する権限。
リソースディレクトリのすべてのメンバーのイベントを収集するマルチアカウントトレイルを作成する権限。
各リソースディレクトリ内に作成できるマルチアカウントトレイルは 1 つだけです。したがって、リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内に ActionTrail の委任管理者アカウントを 1 つだけ追加できます。
リソースディレクトリの管理アカウントを使用して、リソース管理コンソールで委任管理者アカウントを追加できます。詳細については、「委任管理者アカウントを追加する」をご参照ください。
委任管理者アカウントを変更する
メンバーを ActionTrail の委任管理者アカウントとして指定した後、このアカウントを変更しないことをお勧めします。委任管理者アカウントは、リソースディレクトリ内のビジネスを管理するために使用されます。指定したアカウントを変更すると、委任管理者アカウントに関連する構成が有効にならない場合があります。これは、継続的な監査プロセスに影響します。指定したアカウントを変更する必要がある場合は、最初に元の委任管理者アカウントを削除する必要があります。その後、新しい委任管理者アカウントを指定できます。
元の委任管理者アカウントを削除する前に、このアカウントを使用して作成されたマルチアカウントトレイルを削除する必要があります。マルチアカウントトレイルを削除すると、別のマルチアカウントトレイルが作成されるまで、リソースディレクトリのメンバーのイベントは収集されなくなります。注意して進めてください。マルチアカウントトレイルの削除方法の詳細については、「マルチアカウントトレイルを削除する」をご参照ください。
リソース管理コンソール にログインし、管理アカウントを使用して元の委任管理者アカウントをリソースディレクトリから削除します。
詳細については、「委任管理者アカウントを削除する」をご参照ください。
リソース管理コンソールで、新しい委任管理者アカウントを指定します。
詳細については、「委任管理者アカウントを追加する」をご参照ください。
ActionTrail コンソール にログインし、新しい委任管理者アカウントを使用して、新しいアカウントのストレージスペースにイベントを配信するマルチアカウントトレイルを作成します。
詳細については、「メンバーを使用して Alibaba Cloud 管理コンソールにログインする」および「マルチアカウントトレイルを作成する」をご参照ください。
ActionTrail コンソールで、新しい委任管理者アカウントを使用して、過去 90 日間のすべてのイベントを指定されたストレージスペースに一度に配信するデータバックフィルタスクを作成します。
詳細については、「データバックフィルタスクを作成する」をご参照ください。
Simple Log Service コンソール または OSS コンソール にログインし、元の委任管理者アカウントのイベントを新しい委任管理者アカウントのストレージスペースに移行します。
詳細については、「Logstore からデータを複製する」および「OSS バケット間でデータを移行する」をご参照ください。
説明委任管理者アカウントを変更した後、最大 90 日間の重複イベントが、新しい委任管理者アカウントに指定された Simple Log Service Logstore または OSS バケットに保存されます。これにより、過去 90 日間に生成されたイベントが失われないことが保証されます。