Cloud Governance Center:ID と権限の構成

ID と権限の初期化

1. Cloud Governance Center コンソール にログインします。

2. 左側のナビゲーションウィンドウで、[landing Zone] > [landing Zone のセットアップ] を選択します。

3. [標準ブループリント] または [標準ブループリント (CEN)] セクションで、[構築] をクリックします。

   この例では、標準ブループリントが使用されています。

4. 追加されたアイテム[ブループリントの構成] ページの Cloud SSO セクションで、 をクリックします。

   説明

   構成するアイテムが [追加済みアイテム] セクションに存在しない場合は、[アイテムの追加] をクリックします。 表示されるダイアログボックスで、アイテムを選択し、[追加] をクリックします。

5. CloudSSO パラメーターを構成します。

   1. [基本情報] セクションで、次のパラメーターを構成します。

      • リージョン

        データセキュリティを確保するために、ビジネスデータが存在するリージョンに近いリージョンを選択できます。 詳細については、「CloudSSO ディレクトリの作成」をご参照ください。

      • カタログ名

        ディレクトリ名はグローバルに一意である必要があります。 名前の重複を防ぐために、ディレクトリ名に企業名をプレフィックスとして付けることができます。

      • ログインタイムアウト

        CloudSSO ユーザーがアクセス構成を使用してリソースディレクトリ内のアカウントを使用して特定の操作を実行できるログインセッションの最大期間です。 単位：秒。 有効な値：3600 ～ 43200（1 時間～ 12 時間）。 デフォルト値：3600（1 時間）。

   2. [アクセス構成テンプレート] セクションで、Cloud Governance Center に事前定義されているアクセス構成テンプレートを表示します。

      次の表は、ベストプラクティスに基づいて Cloud Governance Center の事前定義されたアクセス構成について説明しています。 アクセス構成は CloudSSO に自動的にプロビジョニングされます。 この方法で、アクセス構成を CloudSSO の特定のアカウントにバインドできます。

      アクセス構成	権限
      管理者	企業のすべての Alibaba Cloud リソースに対するフルアクセス権限を付与します。
      Iam	Alibaba Cloud 管理コンソールにログインするために使用できるすべてのエンタープライズアカウントの ID と権限を管理する権限を付与します。
      請求	請求、アカウント残高、請求書、契約の照会と管理などの財務管理権限を付与します。
      AuditAdministrator	Cloud Config、ActionTrail、Log Service に対するフルアクセス権限と、すべてのリソースのステータスを表示する権限を付与します。
      LogAdministrator	ログを管理する権限を付与します。
      LogAudit	ログを表示する権限を付与します。
      NetworkAdministrator	ネットワークサービスとセキュリティグループに関連する権限を付与します。
      SecurityAudit	セキュリティサービスの構成を管理する権限を除き、セキュリティサービスに関連するデータの照会権限を付与します。
      SecurityAdministrator	すべてのセキュリティサービスを管理する権限を付与します。

      アクセス構成の詳細については、「概要」をご参照ください。

ID と権限の管理

ID と権限を初期化したら、CloudSSO に関する構成情報を表示または変更できます。

1. Cloud Governance Center コンソール にログインします。

2. 左側のナビゲーションウィンドウで、[複数アカウントの管理] > [ID と権限] を選択します。

3. [アクセス構成テンプレート] タブで、アクセス構成の詳細を表示します。

4. [idp 情報] タブで、ID プロバイダー (IdP) のメタデータファイルをダウンロードするか、IdP に関する構成情報を変更します。