Anti-DDoS:マルチアカウント管理

サポートされるインスタンスタイプ

Anti-DDoS Origin 2.0 Enterprise (サブスクリプション) インスタンスおよび Anti-DDoS Origin 2.0 (従量課金) インスタンス。

アカウントタイプ

マルチアカウント管理機能を使用する前に、リソースディレクトリを作成する必要があります。リソースディレクトリには、次の 3 つのアカウントタイプが含まれます。詳細については、「リソースディレクトリとは」をご参照ください。

• 管理アカウント: 管理アカウントは、リソースディレクトリを有効にするために使用されます。管理アカウントはリソースディレクトリのスーパー管理者であり、リソースディレクトリ、フォルダ、およびメンバーを完全に制御できます。

• 委任された管理者アカウント: 管理アカウントは、リソースディレクトリ内のメンバーアカウントを委任された管理者アカウントとして指定できます。管理アカウントは、このアカウントにリソースディレクトリの組織およびメンバー情報にアクセスする権限を付与します。

• メンバーアカウント: リソースディレクトリに新しいメンバーアカウントを作成するか、既存の Alibaba Cloud アカウントをリソースディレクトリに招待できます。

管理アカウントまたは委任された管理者アカウントによって購入された Anti-DDoS Origin インスタンスは、メンバーアカウントのパブリック IP アドレスが割り当てられている資産を保護できます。ただし、組織管理タスクには管理アカウントを使用し、ビジネス管理タスクには委任された管理者アカウントを使用することをお勧めします。これらのタスクを分離することで、管理の柔軟性と効率が向上します。

使用上の注意

• 管理アカウント、委任された管理者アカウント、およびメンバーアカウントは、同じリソースディレクトリに属し、同じ企業 ID 検証を持っている必要があります。

• メンバーアカウントは、独自の Anti-DDoS Origin インスタンスを購入することもできます。ただし、パブリック IP アドレスが割り当てられている資産は、1 つの Anti-DDoS Origin インスタンスによってのみ保護できます。

  たとえば、メンバーアカウントの資産が、メンバーアカウントが購入した Anti-DDoS Origin インスタンスによってすでに保護されているとします。集中保護に委任された管理者アカウントを使用する場合は、まずメンバーアカウントのインスタンスから資産を削除する必要があります。その後、資産を委任された管理者アカウントの Anti-DDoS Origin インスタンスに追加できます。

• 管理アカウントまたは委任された管理者アカウントを使用して Traffic Security コンソールでメンバーアカウントの関連付けを解除すると、そのメンバーアカウントの資産から保護が自動的に削除されます。管理アカウントまたは委任された管理者アカウントのインスタンスは、それらの資産を保護しなくなります。

• 各 Alibaba Cloud アカウントは、管理アカウントか委任された管理者アカウントかにかかわらず、最大 50 のメンバーアカウントを追加できます。

課金

管理アカウントまたは委任された管理者アカウントの Anti-DDoS Origin インスタンスを使用してメンバーアカウントの資産を保護する場合、次の課金ルールが適用されます。

• Anti-DDoS Origin 2.0 Enterprise (サブスクリプション) インスタンス: メンバーアカウントの資産を保護するための追加料金は発生しません。

• Anti-DDoS Origin 2.0 (従量課金) インスタンス: メンバーアカウントの資産の保護から発生した料金は、インスタンスを所有するアカウントに請求されます。

メンバーアカウントの資産に関する情報の表示

管理アカウントまたは委任された管理者アカウントの Anti-DDoS Origin インスタンスを使用してメンバーアカウントの資産を保護する場合、コンソールでの資産統計の可視性はアカウントタイプによって異なります。次の表に詳細を示します。

• サポートされていません: 統計に資産は含まれません。

• サポートされています: 統計に資産が含まれます。

ステップ 1: リソースディレクトリを有効にし、組織構造を構築する

マルチアカウント管理機能を使用する前に、企業 の Alibaba Cloud アカウントをリソースディレクトリに追加する必要があります。

1. 管理アカウントで Resource Management コンソールにログインし、リソースディレクトリを有効にします。詳細については、「リソースディレクトリを有効にする」をご参照ください。

2. Resource Management コンソールで、管理アカウントを使用して企業の組織構造を構築します。新しいメンバーを作成したり、既存の Alibaba Cloud アカウントを組織に招待したりできます。

   詳細については、「フォルダの作成」、「メンバーの作成」、および「Alibaba Cloud アカウントをリソースディレクトリに招待する」をご参照ください。

3. Resource Management コンソールで、管理アカウントを使用して、メンバーアカウントを委任された管理者アカウントとして指定します。詳細については、「委任された管理者アカウントの管理」をご参照ください。

ステップ 2: メンバーアカウントを委任された管理者アカウントに関連付ける

メンバーアカウントの資産を表示するには、メンバーアカウントを委任された管理者アカウントに関連付ける必要があります。

1. 委任された管理者アカウントで Traffic Security コンソールにログインします。

2. 左側のナビゲーションウィンドウで、ネットワークセキュリティ > Anti-DDoS Origin > マルチアカウント管理 を選択します。

3. メンバーアカウントの追加 をクリックします。ダイアログボックスの情報を読み、次へ をクリックします。

   重要

   メンバーアカウントを追加すると、委任された管理者アカウントはメンバーアカウントの資産へのアクセスを承認されます。

4. 追加するメンバーアカウントを選択し、 アイコンをクリックしてから、[OK] をクリックします。

   メンバーアカウントが追加されると、委任された管理者アカウントのインスタンスを使用してメンバーアカウントの資産を保護できます。

ステップ 3: 委任された管理者アカウントのインスタンスを使用してメンバーアカウントの資産を保護する

メンバーアカウントの資産を保護するには、その資産を委任された管理者アカウントのインスタンスの保護対象オブジェクトに追加する必要があります。

1. 委任された管理者アカウントで Traffic Security コンソールにログインします。

2. 左側のナビゲーションウィンドウで、ネットワークセキュリティ > Anti-DDoS Origin > 保護対象 を選択します。

3. ターゲットの Anti-DDoS Origin インスタンスを選択し、保護対象の追加 をクリックしてから、メンバーアカウントの資産追加 タブをクリックします。

4. メンバーアカウントを選択します。選択するオブジェクト セクションで、保護する資産を選択し、 アイコンをクリックしてから、[OK] をクリックします。

ステップ 4: メンバーアカウントの資産の緩和ポリシーを設定する

メンバーアカウントの資産を保護対象オブジェクトに追加すると、保護テンプレート が デフォルト に設定されます。これは、資産が Anti-DDoS Origin のデフォルトの緩和機能によって保護されることを意味します。

ビジネスで特定の機能を持つサービストラフィックを許可またはブロックする必要がある場合は、委任された管理者アカウントで Traffic Security コンソールにログインし、カスタムのシナリオ固有のテンプレートを資産にアタッチできます。詳細については、「緩和設定」をご参照ください。

ステップ 5: メンバーアカウントの資産に対する攻撃イベントを表示する

1. 委任された管理者アカウントで Traffic Security コンソールにログインします。

2. 左側のナビゲーションウィンドウで、ネットワークセキュリティ > Anti-DDoS Origin > アタック分析 を選択します。

3. アタック分析 ページで、アカウントの範囲を選択して攻撃イベントの詳細を表示します。

   • すべてのアカウント: 管理アカウントおよびパブリック IP アドレスが割り当てられているメンバーアカウントの資産が含まれます。

   • 委任された管理者アカウント: このアカウントでパブリック IP アドレスが割り当てられている資産のみを表示できます。

   • メンバーアカウント: このアカウント内でパブリック IP アドレスが割り当てられている資産のみを表示できます。