委任管理者アカウントの管理 - ActionTrail - Alibaba Cloud ドキュメントセンター

リソースディレクトリの管理アカウントは、リソースディレクトリ内の任意のメンバーを ActionTrail の委任管理者アカウントとして指定できます。構成を完了すると、委任管理者アカウントは管理アカウントから権限付与を受け、管理アカウントに代わってマルチアカウントトレイルを作成し、リソースディレクトリ内のすべてのアカウントから発生するイベントを、任意のメンバーアカウント配下の SLS Logstore または OSS バケットに配信します。これにより、運用イベントの集中収集が可能になります。

前提条件

リソースディレクトリを有効にする必要があります。詳細については、「リソースディレクトリの有効化」をご参照ください。
リソースディレクトリにメンバーを作成または招待する必要があります。詳細については、「メンバーの作成」および「Alibaba Cloud アカウントをリソースディレクトリに招待」をご参照ください。

利用シーン

ActionTrail の委任管理者アカウントを追加することで、IT アーキテクチャレベルで組織管理と監査管理を分離できます。この分離は、企業におけるセキュアなクラウド IT 管理にとって極めて重要です。

デフォルトでは、管理アカウントが中央管理者として機能し、スーパー管理者権限を保持します。企業の IT 管理におけるベストプラクティスでは、管理アカウントはリソースディレクトリの組織化および管理に専念し、他のクラウド構成への関与を最小限に抑えることで、過剰な権限による誤操作を回避すべきです。しかし、企業が複数のクラウドアカウントを使用する場合、組織全体に適用される管理タスクが発生します。このようなケースでは、管理アカウントが責任を委任管理者アカウントに委譲します。たとえば、管理アカウントが特定のメンバーを ActionTrail の委任管理者アカウントとして指定し、内部監査部門がこのアカウントを所有・使用してイベントを一元的に収集・モニター・分析します。この構成は、実際の業務上の役割分担に合致します。

要するに、ActionTrail の委任管理者アカウントを使用することで、企業は以下の要件を満たすことができ、マルチアカウント管理のベストプラクティスにも沿います。

監査イベントの収集・管理・分析専用のアカウントを割り当て、ビジネスアカウントとは分離します。
委任管理者アカウントに ActionTrail の構成を担当させることで、管理アカウントのワークロードを軽減し、管理アカウントの使用頻度を制限します。

委任管理者アカウントの詳細については、「委任管理者アカウントとは」をご参照ください。

委任管理者アカウントの追加

企業は、リソースディレクトリ内のメンバーを ActionTrail の委任管理者アカウント（監査専用アカウント）として指定できます。このアカウントは監査構成の管理および監査イベントの保存のみを担当し、その他のリソースは一切保有しません。このアプローチは、セキュリティ管理における三役分掌モデルをサポートし、アカウントレベルで権限管理、監査管理、リソース管理を分離します。委任管理者アカウントは、リソースディレクトリ全体のマルチアカウントトレイルを作成し、イベントを指定されたストレージロケーションに配信します。そのロケーションは、同一アカウント内（推奨）またはイベント保存専用の別アカウント内に設定できます。委任管理者アカウントを使用して、長期的なトレイル構成の管理、全アカウントからのイベント保存、継続的な監査分析およびアラートの実行が可能です。

ActionTrail の委任管理者アカウントには、以下の権限があります。

管理アカウントからの権限付与により、リソースディレクトリ内の組織およびメンバー情報を参照できます。
ActionTrail でリソースディレクトリ全体のマルチアカウントトレイルを作成し、リソースディレクトリ内のすべてのメンバーからイベントを収集できます。

説明

リソースディレクトリ内には、マルチアカウントトレイルを 1 つしか存在できません。したがって、各管理アカウントは ActionTrail の委任管理者アカウントを 1 つだけ追加できます。

企業管理者アカウントを使用して、Resource Management コンソールで委任管理者アカウントを追加できます。詳細については、「委任管理者アカウントの追加」をご参照ください。

委任管理者アカウントの置き換え

ActionTrail の委任管理者アカウントを追加した後は、変更を避けてください。委任管理者アカウントは監査機能のための固定された企業資産として機能します。これを変更すると、一時的な構成エラーが発生し、継続的かつ完全な監査カバー率が中断される可能性があります。やむを得ずアカウントを変更する必要がある場合は、まず既存の委任管理者アカウント（アカウント A）を削除し、その後新しい委任管理者アカウント（アカウント B）を追加してください。

重要

委任管理者アカウントを削除する前に、そのアカウント配下のマルチアカウントトレイルを削除してください。トレイルを削除すると、イベント収集が停止されます。実施前に十分ご検討ください。手順については、「マルチアカウントトレイルの削除」をご参照ください。

Resource Management コンソールで、管理アカウントを使用してリソースディレクトリから既存の ActionTrail 委任管理者アカウント（アカウント A）を削除します。
詳細については、「委任管理者アカウントの削除」をご参照ください。
Resource Management コンソールで、新しい委任管理者アカウント（アカウント B）を追加します。
詳細については、「委任管理者アカウントの追加」をご参照ください。
ActionTrail コンソールで、新しい委任管理者アカウント（アカウント B）を使用してマルチアカウントトレイルを作成し、イベントをアカウント B 内のストレージロケーションに配信します。
詳細については、「メンバーとして Alibaba Cloud 管理コンソールにログイン」および「マルチアカウントトレイルの作成」をご参照ください。
ActionTrail コンソールで、新しい委任管理者アカウント（アカウント B）を使用してデータバックフィル配信タスクを作成します。このタスクにより、過去 90 日間のイベントを一度に指定されたストレージロケーションに配信します。
詳細については、「データバックフィル配信タスクの作成」をご参照ください。
SLS コンソールまたは OSS 管理コンソールで、元の委任管理者アカウント（アカウント A）に保存されている既存のイベントを、新しい委任管理者アカウント（アカウント B）のストレージロケーションにマージします。
詳細については、「SLS データのオンライン移行」および「OSS データのオンライン移行」をご参照ください。
説明
委任管理者アカウントを置き換えた後、新しいストレージロケーションには約 90 日分の重複イベントが含まれます。これにより、監査の完全性が確保されます。