Landing Zone の設定 | Cloud Governance Center - Cloud Governance Center

Landing Zone とは、クラウドのリソース構造、アクセスセキュリティ、ネットワークアーキテクチャ、セキュリティとコンプライアンスの統制を計画し、実装するための Alibaba Cloud のエンタープライズクラウド導入フレームワークです。本トピックでは、Cloud Governance Center の標準ブループリントテンプレートを使用して Landing Zone を設定する方法について説明します。

背景情報

システムは、管理アカウントで Resource Directory が有効になっているかどうかを自動的にチェックし、必要に応じて有効にします。

ステップ 1：設定項目の構成

Cloud Governance Center コンソールにログインします。
左側のナビゲーションウィンドウで、Landing Zone > LandingZone を使用して構築 を選択します。
LandingZone を使用して構築 ページで、ブループリントの選択 セクションの 標準ブループリント を選択し、構築をクリックします。
ブループリントの設定 ページの 追加された項目 セクションで、ブループリントの項目を確認します。必要に応じて項目を追加または削除します。
- 項目の追加 をクリックして項目を追加します。
  
  一部の項目には依存関係があり、一緒に追加する必要があります。
- 不要な項目を削除するには、既存の項目の横にあるアイコンをクリックします。
  
  ブループリントの必須項目は削除できません。
この例では、作成するフォルダーの概要、コアアカウントの作成、Protection Rule の 3 つの必須設定項目のみを残します。

ステップ 2：フォルダーの作成

フォルダーは Resource Directory の組織単位であり、子会社、事業部門、またはプロジェクトを表します。フォルダーをネストして、リソースの割り当て、権限管理、セキュリティおよびコンプライアンスの統制のための階層を構築します。

以下の 2 つのフォルダーを作成することを推奨します。これらのフォルダーが存在しない場合、Cloud Governance Center は自動的に作成します。

コアフォルダー：ガバナンス目的のメンバーを保持します。
アプリケーションフォルダー：ワークロードを実行するメンバーを保持します。

追加された項目 セクションで、作成するフォルダーの概要 をクリックして、生成された 2 つのフォルダーを表示します。必要に応じて名前を変更または削除します。

デフォルトのコアフォルダーとアプリケーションフォルダー以外に、Resource Directory のターゲットノードの下にある リソースフォルダーの作成 をクリックして、部署、環境、またはその他の基準で追加のフォルダーを作成します。

ステップ 3：コアアカウントの作成

機能チームごとにコアアカウントを作成することで、リソースの割り当て、権限管理、セキュリティおよびコンプライアンスの統制を簡素化します。

コアアカウントの作成 セクションで、デフォルトのフォルダー ドロップダウンリストから、コアアカウントを格納するフォルダーを選択します。

この例では、「ステップ 2：フォルダーの作成」で作成したコアフォルダーを選択します。これにより、コアアカウントがコアフォルダーの下に作成されます。
財務ホスティング方法を設定します。
- [信託関係]：オプションの推奨事項で、このアカウント配下のすべてのアカウントの請求決済とコスト配分を一元化します。
- [財務管理]：選択した財務機能を統一されたアカウントで一元管理します。各アカウントはデフォルトで自己支払いを使用します。設定後、財務管理アカウントにログインして設定を行います。
- [各アカウントの自己負担]：各アカウントが自身の請求を管理します。一元的な財務管理は設定されません。
任意： 信託関係 を選択した場合は、財務ホスティングアカウントを指定します。
次のいずれかの方法で財務ホスティングアカウントを指定します。
- [既存のアカウントの指定]：管理アカウントまたは Resource Directory メンバーを財務ホスティングアカウントとして指定します。
  
  システムは、選択したメンバーが要件を満たしているか検証します。
  
  説明
  メンバーアカウントが要件を満たさない場合、その財務情報が不完全である可能性があります。Billing コンソールに移動して情報を入力してください。
- [アカウントの作成]：新しいメンバーを財務ホスティングアカウントとして作成します。
- [アカウントの招待]：Alibaba Cloud アカウントを財務ホスティングアカウントとして Resource Directory に招待します。
コアアカウントを指定します。
この例では、3 つのコアアカウントを指定します。
- [ログアーカイブアカウント]：すべてのメンバーアカウントからのログを一元管理します。デフォルトで有効になっており、無効にすることはできません。
- [共有サービスアカウント]：組織の共有サービスをデプロイします。デフォルトで有効になっていますが、無効にすることもできます。
- [安全なアカウント]：セキュリティおよびコンプライアンスの統制を一元的に管理します。デフォルトで有効になっていますが、無効にすることもできます。
アカウントタイプごとに、アカウントの作成 または 既存のアカウントの指定 を選択します。アカウントの作成 を選択した場合は、基本的なアカウント情報を設定します。
次へをクリックします。

ステップ 4：ガードレールの設定

Configuration Audit でガードレールを設定および有効化し、Cloud Governance Center によって作成されたリソース構造とベースライン構成を不正な変更から保護します。

Protection Rule セクションで、必要なルールを確認して選択します。ガードレールの一元的な設定

ステップ 5：Landing Zone のデプロイ

すべてのパラメーターを設定した後、設定のプレビュー をクリックして設定内容を確認します。
設定が正しい場合は、開始をクリックします。
実行ステータスを表示します。すべてのタスクが完了したら、Off をクリックします。

次のステップ

Landing Zone 設定の続行

上記の手順は、基本的な Landing Zone の設定のみを対象としています。[LandingZone Setup] ページで、右上隅にある ビルドを続行 をクリックして、追加のサポートされている設定項目を設定します。

メンバーアカウントの作成

アカウントファクトリーページで、先ほど作成したコアアカウントを表示し、アカウントベースラインを設定して、そこからメンバーアカウントを作成します。

マルチアカウントの管理

マルチアカウント構造の表示

アカウント構造を表示して、組織のフォルダーとメンバーを確認します。
アイデンティティと権限の一元的な設定

複数の Resource Directory メンバーに対して、アイデンティティと権限を一元的に設定します。
ガードレールの管理

ルールの詳細、コンプライアンス結果を表示し、推奨またはオプションのルールを管理します。ガードレールの一元的な設定
監査ログの一元的な配信

すべてのメンバーアカウントからの監査ログをログアカウントに一元的に配信します。ログを OSS に保存して長期保持するか、SLS に保存してリアルタイム分析を行います。
リソースリストの表示

Resource Center でアカウント、製品、リージョンをまたいでリソースを表示します。Resource Center とは

ガバナンス成熟度評価結果の確認

ガバナンス成熟度評価は、クラウド IT ガバナンスの状況を継続的に評価し、ガイド付きの推奨事項を提供します。Cloud Governance Center は、Resource Directory 内のメンバーアカウントを自動的にスキャンして、ガバナンスのギャップとリスクを特定します。評価データを表示し、レポートをダウンロードします。