クラウドに移行する前にアイデンティティとアクセス許可の管理戦略を計画することで、セキュリティリスクを軽減し、マルチアカウントでの運用を簡素化します。Agentic Cloud Governance Center は、リソースディレクトリ内のメンバーアカウント全体でアイデンティティとアクセス許可を設定するためのガイド付きウィザードを提供します。また、ベストプラクティスに基づいた定義済みのアクセス設定テンプレートとガバナンスベースラインも提供します。
背景情報
CloudSSO は Alibaba Cloud リソースディレクトリと統合し、マルチアカウントのアイデンティティ管理とアクセス制御を一元化します。一度設定するだけで、複数のアカウントにまたがるアイデンティティとアクセス許可を管理できます。アイデンティティとアクセス許可の管理には CloudSSO の使用を推奨します。詳細については、「CloudSSO とは」をご参照ください。
アイデンティティとアクセス許可の初期化
-
左側のナビゲーションペインで、[Landing Zone] > [LandingZone Setup] を選択します。
-
「標準ブループリント」または「標準ブループリント (CEN)」セクションで、[Build] をクリックします。
この例では、標準ブループリントを使用します。
-
[Blueprint Configuration] ページの [Added Items] セクションで、[CloudSSO] をクリックします。
説明アイテムが [Added Items] セクションにない場合は、[Add Item] をクリックし、アイテムを選択して [Add] をクリックします。
-
CloudSSO パラメーターを設定します。
-
[Basic Information] セクションで、次のパラメーターを設定します。
-
[リージョン]
データセキュリティのために、ビジネスデータに近いリージョンを選択してください。詳細については、「CloudSSO ディレクトリの作成」をご参照ください。
-
[カタログ名]
グローバルに一意である必要があります。競合を避けるため、企業名をプレフィックスとして付加してください。
-
[ログオンタイムアウト]
CloudSSO ユーザーがアクセス設定を通じてアカウントにアクセスできる最大時間です。有効範囲:3600~43200 秒 (1~12 時間)。デフォルト値:3600 秒 (1 時間)。
-
-
[Access Configuration Template] セクションで、定義済みのアクセス設定テンプレートを確認します。
Agentic Cloud Governance Center は、ベストプラクティスに基づいて、以下の定義済みアクセス設定を提供します。これらは CloudSSO で自動的にプロビジョニングされ、指定されたアカウントにバインドできます。
アクセス設定
アクセス許可
Administrator
すべての Alibaba Cloud リソースに対する完全なアクセス許可。
Iam
コンソールアクセス権を持つすべての企業アカウントのアイデンティティとアクセス許可の管理。
Billing
財務管理:請求書、アカウント残高、インボイス、契約。
AuditAdministrator
Cloud Config、ActionTrail、および Log Service に対する完全なアクセス許可。すべてのリソースステータスへの読み取り専用アクセス。
LogAdministrator
ログの管理。
LogAudit
ログへの読み取り専用アクセス。
NetworkAdministrator
ネットワークサービスとセキュリティグループの管理。
SecurityAudit
セキュリティサービスデータへの読み取り専用アクセス。セキュリティ設定は変更できません。
SecurityAdministrator
すべてのセキュリティサービスに対する完全なアクセス許可。
アクセス設定の詳細については、「アクセス設定の概要」をご参照ください。
-
アイデンティティとアクセス許可の管理
初期化後、CloudSSO の設定を表示または変更できます。
-
左側のナビゲーションペインで、 を選択します。
-
[Access Configuration Template] タブで、アクセス設定の詳細を確認します。
-
[IdP Information] タブで、IdP メタデータファイルをダウンロードするか、IdP 設定を変更します。