このトピックでは、Bastionhost の複数アカウント管理機能を使用してアセットに対する O&M 操作を実行する方法について説明します。
背景情報
大企業が複雑なビジネスと複数アカウントで管理されるアセットを持つシナリオでは、Bastionhost はリソースディレクトリに基づいて複数アカウント管理機能を提供します。これにより、複雑なアカウント環境で一元化されたアセット O&M と管理を実装できます。
ソリューション
メンバーを堡垒机に追加した後、メンバーのアセットを堡垒机にインポートし、O&M ポリシーを一元管理し、O&M 操作を包括的に監査できます。 Bastionhost はアセットステータスをリアルタイムで同期します。これにより、クラウド上で複数アカウントのアセットを一元管理できるようになり、管理コストを削減できます。
Bastionhost は、複数アカウントのアセットをインポートするためのアセット管理機能を提供します。所有者アカウント ID でアセットを分類し、アセットステータスを自動的に同期できます。
説明ホストを作成することで、他のアカウントのアセットをインポートすることもできます。詳細については、「ホストを追加する」をご参照ください。
Alibaba Cloud アカウントに属していないアセットにアクセスすると、ネットワーク接続に失敗する場合があります。堡垒机を内部ネットワーク経由でサーバーに接続するには、ネットワークを接続するか、ネットワークドメイン機能を使用できます。詳細については、「ハイブリッド O&M のベストプラクティス」をご参照ください。
Bastionhost は、複数アカウントのアセットへのアクセス許可とポリシーを一元管理するための O&M 管理機能を提供します。
アセットに対するきめ細かい一元承認:複数アカウントのアセットとアセットアカウントの権限を Bastionhost ユーザーに付与できます。これは、企業が複雑なアセット権限を整理し、権限関連の混乱を防ぐのに役立ちます。ユーザーインターフェースで Alibaba Cloud アカウント別に承認済みアセットをフィルタリングして、権限管理の効率を向上させることができます。
O&M 操作の一元管理:Bastionhost では、制御ポリシーを設定できます。コマンド制御、コマンド承認、プロトコル制御、アクセス制御ポリシーを設定して、O&M 操作を管理できます。これにより、アセット O&M セキュリティが強化され、管理コストが削減されます。
Bastionhost は、ログとビデオに基づいて複数アカウントのアセットに対するすべての O&M 操作を監査するための O&M 監査機能を提供します。また、Alibaba Cloud アカウント別にアセットをフィルタリングして、特定のアカウントのアセット操作を管理することもできます。
前提条件
リソースディレクトリが有効になっています。詳細については、「リソースディレクトリを有効にする」をご参照ください。
リソースディレクトリにメンバーが存在します。
メンバーの作成方法の詳細については、「メンバーを作成する」をご参照ください。
既存のアカウントをメンバーとしてリソースディレクトリに参加するように招待する方法の詳細については、「Alibaba Cloud アカウントをリソースディレクトリに参加するように招待する」をご参照ください。
RAM ユーザーを使用して複数アカウントのアセットを管理する場合は、RAM ユーザーに AliyunYundunBastionHostFullAccess 権限と AliyunResourceDirectoryFullAccess 権限が付与されていることを確認してください。 RAM ユーザーに権限を付与する方法の詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
メンバーが堡垒机に追加されます。詳細については、「複数アカウント管理機能を使用する」をご参照ください。
アセット管理
複数アカウントのアセットをインポートした後、アセットリストでアカウントを表示し、アカウント別にアセットをフィルタリングできます。複数アカウントのアセットをインポートするには、次の操作を実行します。
Bastionhost コンソール にログインします。 上部のナビゲーションバーで、堡垒机が存在するリージョンを選択します。
堡垒机リストで、管理する堡垒机を見つけて、管理 をクリックします。
左側のナビゲーションウィンドウで、[アセット] > [ホスト] または [アセット] > [データベース] を選択します。
表示されるページで、複数アカウントのアセットをインポートします。
アセットのインポート方法の詳細については、「ホストを追加する」および「データベースをインポートする」をご参照ください。
O&M 管理
アクセス制御
他のアカウントのアセットを堡垒机にインポートした後、ユーザーにアセットの管理を承認できます。 [ユーザー] ページで、承認済みアセットをアカウント別にフィルタリングして、特定のアカウントアセットの承認ステータスを表示できます。ユーザーにアセットの管理を承認するには、次の操作を実行します。
Bastionhost コンソール にログインします。 上部のナビゲーションバーで、堡垒机が存在するリージョンを選択します。
堡垒机リストで、管理する堡垒机を見つけて、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、管理するユーザーの名前をクリックします。
[管理対象ホスト]、[管理対象データベース]、または [承認済みアプリケーション] タブで、[承認済みアカウント] 列の [アカウントが見つかりません。ここをクリックして、ユーザーにアセットグループのアカウントの管理を承認します。] をクリックします。
表示されるパネルで、ユーザーグループに管理を承認するアセットアカウントを選択し、[更新] をクリックします。
説明アカウントが表示されない場合は、[ホストアカウントの作成] をクリックしてアセットアカウントを作成します。
アセット承認プロセスの詳細については、「ユーザーまたはユーザーグループにアセットとアセットアカウントの管理を承認する」をご参照ください。
制御ポリシー
Bastionhost では、ビジネス要件に基づいて複数アカウントのアセットを制御ポリシーに関連付け、アセットグループに基づいて承認を実行できます。承認ルールを使用してアセットに対する O&M 操作を実行し、アセットグループ別に制御ポリシーを設定し、制御ポリシーを関連付けることができます。制御ポリシーを作成するには、次の操作を実行します。
Bastionhost コンソール にログインします。 上部のナビゲーションバーで、堡垒机が存在するリージョンを選択します。
堡垒机リストで、管理する堡垒机を見つけて、管理 をクリックします。
左側のナビゲーションウィンドウで、Control Policies をクリックします。
Control Policies ページで、[制御ポリシーの作成] をクリックします。
[制御ポリシーの作成] ページで、[名前]、[優先度]、[コマンド制御]、[コマンド承認]、[プロトコル制御]、[アクセス制御]、および [O&M 承認] パラメーターを設定します。 次に、[制御ポリシーの作成] をクリックします。
資産/ユーザのバインド ページで、制御ポリシーをアセットとユーザーに関連付ける必要があります。そうすることで、ポリシーがアセットとユーザーに適用されます。
制御ポリシーをアセットに関連付けます。 すべての資産に適用 または 選択したすべての資産に適用 を選択できます。
すべての資産に適用 を選択すると、制御ポリシーはすべてのアセットアカウントに適用されます。
選択したすべての資産に適用 を選択した場合は、制御ポリシーに関連付けるアセットを選択し、[すべてのアカウントを関連付ける] または [特定のアカウントを関連付ける] を選択します。
説明制御ポリシーを複数のアセットまたはアセットアカウントに関連付けるには、アセットをアセットグループに追加してから、制御ポリシーを関連付けます。
制御ポリシーをユーザーに関連付けます。 Apply to All Users または Apply to Selected Users を選択できます。
制御ポリシーの設定方法の詳細については、「制御ポリシーを設定する」をご参照ください。
セキュリティ監査
Bastionhost では、アセットに対するすべての O&M 操作を監査できます。 [セッション監査] ページで、所有者アカウント ID でセッションレコードをフィルタリングして、特定のアカウントのアセットのセッションレコードをすばやく見つけることができます。
Bastionhost コンソール にログインします。 上部のナビゲーションバーで、堡垒机が存在するリージョンを選択します。
堡垒机リストで、管理する堡垒机を見つけて、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[セッション監査] ページで、セッションレコードを表示します。
セッション監査の詳細については、「セッション監査」をご参照ください。