Landing Zone のセットアップ | Agentic Cloud Governance Center - Cloud Governance Center

Landing Zone は、Alibaba Cloud のエンタープライズクラウド導入フレームワークであり、クラウドリソースの構造、アクセスセキュリティ、ネットワークアーキテクチャ、セキュリティおよびコンプライアンス統制の計画と実装を目的としています。このトピックでは、Agentic Cloud Governance Center の標準ブループリントテンプレートを使用して Landing Zone をセットアップする方法について説明します。

背景情報

システムは、管理アカウントで Resource Directory が有効になっているかどうかを自動的にチェックし、必要に応じて有効にします。

ステップ1：セットアップ項目の設定

Agentic Cloud Governance Center コンソールにログインします。
左側メニューで、Landing Zone > LandingZone を使用して構築 を選択します。
LandingZone を使用して構築 ページの ブループリントの選択 セクションで、標準ブループリント を選択し、構築をクリックします。
ブループリントの設定 ページの 追加された項目 セクションで、ブループリントの項目を確認し、必要に応じて項目を追加または削除します。
- 項目の追加 をクリックして項目を追加します。
  
  一部の項目には依存関係があるため、同時に追加する必要があります。
- 既存の項目の横にあるアイコンをクリックして、不要な項目を削除します。
  
  ブループリントの必須項目は削除できません。
この例では、作成するフォルダーの概要、コアアカウントの作成、保護ルール の 3 つの必須セットアップ項目のみを残します。

ステップ2：フォルダーの作成

フォルダーは Resource Directory の組織単位であり、子会社、事業部門、またはプロジェクトを表します。これらをネストして、リソースの割り当て、権限管理、セキュリティ統制、コンプライアンスのための階層を構築します。

次の 2 つのフォルダーを作成することを推奨します。Agentic Cloud Governance Center は、フォルダーが存在しない場合に自動的に作成します。

コアフォルダー：ガバナンス目的のメンバーを格納します。
アプリケーションフォルダー：ワークロードを実行するメンバーを格納します。

追加された項目 セクションで、作成するフォルダーの概要 をクリックして、生成された 2 つのフォルダーを表示し、必要に応じて名前の変更や削除を行います。

デフォルトのコアフォルダーとアプリケーションフォルダー以外に、Resource Directory のターゲットノードの下にある リソースフォルダーの作成 をクリックして、部門、環境、またはその他の基準で追加のフォルダーを作成できます。

ステップ3：コアアカウントの作成

機能チーム向けのコアアカウントを作成して、リソースの割り当て、権限管理、セキュリティおよびコンプライアンス統制を簡素化します。

コアアカウントの作成 セクションの デフォルトのフォルダー ドロップダウンリストから、コアアカウントを含むフォルダーを選択します。

この例では、ステップ2：フォルダーの作成で作成したコアフォルダーを選択します。これにより、コアアカウントがコアフォルダー配下に作成されます。
財務ホスティング方法を設定します。
- [信託関係] ：このアカウント配下にあるすべてのアカウントの請求決済とコスト配分を集中管理する、推奨されるオプションです。
- [財務管理] ：選択した財務機能を 1 つのアカウントで集中管理します。各アカウントはデフォルトで自己支払いになります。セットアップ後、財務管理アカウントにログインして設定を構成します。
- [各アカウントの自己負担] ：各アカウントが独自の請求を管理します。集中管理型の財務管理は構成されません。
オプション： 信託関係 を選択した場合は、財務ホスティングアカウントを指定します。
次のいずれかの方法で財務ホスティングアカウントを指定します。
- 既存のアカウントの指定 ：管理アカウントまたは Resource Directory のメンバーを財務ホスティングアカウントとして指定します。
  
  システムは、選択されたメンバーが要件を満たしているかを検証します。
  
  説明
  メンバーアカウントが要件を満たしていない場合、財務情報が不完全である可能性があります。請求コンソールに移動して完了してください。
- アカウントの作成 ：新しいメンバーを財務ホスティングアカウントとして作成します。
- アカウントの招待 ：Alibaba Cloud アカウントを招待して、Resource Directory に参加させます。
コアアカウントを指定します。
この例では、3 つのコアアカウントを使用します。
- [ログアーカイブアカウント]：すべてのメンバーアカウントからのログを集中管理します。デフォルトで有効になっており、無効にすることはできません。
- [共有サービスアカウント]：組織の共有サービスをデプロイします。デフォルトで有効ですが、無効にすることもできます。
- [安全なアカウント]：セキュリティとコンプライアンスの統制を集中管理します。デフォルトで有効ですが、無効にすることもできます。
アカウントタイプごとに、アカウントの作成 または 既存のアカウントの指定 を選択します。アカウントの作成 を選択した場合は、基本アカウント情報を設定します。
次へをクリックします。

ステップ4：ガードレールの設定

Configuration Audit でガードレールを設定して有効にし、リソース構造とベースライン設定を不正な変更から保護します。

保護ルール セクションで、必要なルールを確認して選択します。保護ルールの一元的な設定。

ステップ5：Landing Zone のデプロイ

すべてのパラメーターを設定した後、設定のプレビュー をクリックして設定を確認します。
設定が正しい場合は、開始をクリックします。
実行ステータスを確認します。すべてのタスクが完了したら、閉じる をクリックします。

次のステップ

Landing Zone のセットアップの続行

上記の手順では、基本的な Landing Zone のセットアップのみを説明しています。Landing Zone のセットアップページで、右上隅にある ビルドを続行 をクリックして、追加のサポートされているセットアップ項目を設定します。

メンバーアカウントの作成

アカウントファクトリーページで、以前に作成したコアアカウントを表示してアカウントのベースラインを設定し、そこからメンバーアカウントを作成します。

マルチアカウントの管理

マルチアカウント構造の表示

アカウント構造を表示して、組織のフォルダーとメンバーを確認します。
アイデンティティと権限の一元的な設定

複数の Resource Directory のメンバーに対して、アイデンティティと権限を一元的に設定します。
保護ルールの管理

ルールの詳細、コンプライアンス結果を表示し、推奨またはオプションのルールを管理します。保護ルールの一元的な設定。
監査ログの一元的な配信

すべてのメンバーアカウントからログアカウントに監査ログを一元的に配信します。長期保存のために OSS にログを保存するか、リアルタイム分析のために SLS にログを保存します。
リソースリストの表示

Resource Center で、アカウント、製品、リージョンをまたいでリソースを表示します。Resource Center とは。

ガバナンス成熟度評価結果の確認

ガバナンス成熟度評価は、クラウド IT ガバナンスの状況を継続的に評価し、推奨事項を提供します。Agentic Cloud Governance Center は、Resource Directory 内のメンバーアカウントを自動的にスキャンして、ガバナンスのギャップとリスクを特定します。評価データの表示とレポートのダウンロード。