Cloud Governance Center:アカウントベースラインの構成

ベースライン項目

説明

依存ベースライン項目

参照

請求方法 (デフォルトベースライン項目)

リソースディレクトリのメンバーに請求アカウントを指定できます。このようにして、企業で発生する料金を一元的に管理できます。

サポートされていません

なし

CloudSSO 権限のバインド (デフォルトベースライン項目)

リソースディレクトリの複数のメンバーの ID と権限を設定できます。これにより、ID 管理と権限管理に関連するリスクを軽減し、複数アカウント管理の効率を向上させるのに役立ちます。

なし

ID と権限を設定する

ガードレール (デフォルトベースライン項目)

Cloud Governance Center コンソールで、リソースディレクトリのすべてのメンバーに対して Cloud Config の保護ルールを設定および有効化できます。Cloud Governance Center コンソールで保護ルールを一元的に管理できます。これにより、Cloud Governance Center の基本構成と Cloud Governance Center で作成されたリソース構造が変更されないことが保証されます。また、複数アカウント環境のセキュリティも確保されます。

なし

保護ルールを一元的に設定する

RAM パスワードポリシー

パスワードの複雑さの要件を指定して、RAM (Resource Access Management) ユーザーのアカウントセキュリティを向上させることができます。一般的なパスワードルールには、パスワードの長さ、サポートされている文字、パスワードの有効期間が含まれます。

なし

RAM ユーザーのパスワードポリシーを設定する

VPC

VPC (Virtual Private Cloud) は、クラウド内のプライベートネットワークです。各 VPC は、CIDR ブロック、vSwitch、および ACL (アクセス制御リスト) で構成されます。

なし

VPC とは

セキュリティグループ

セキュリティグループは、Elastic Compute Service (ECS) インスタンスの仮想ファイアウォールとして使用され、インバウンドおよびアウトバウンドトラフィックを管理します。

VPC

概要

アカウント連絡先

アカウントの連絡先を設定して通知を受信できます。Alibaba Cloud は、連絡先情報を第三者に開示または提供しません。

なし

アカウントに指定された連絡先が、財務または Alibaba Cloud サービスに関連する通知メッセージを受信できない場合はどうすればよいですか。

メッセージ

メッセージの種類ごとに受信者を設定できます。アカウント、サービス、および例外に関連する重要な通知を受信するように受信者を設定することをお勧めします。これにより、通知の欠落によるビジネス損失を防ぎます。

アカウント連絡先

アカウントに指定された連絡先が、財務または Alibaba Cloud サービスに関連する通知メッセージを受信できない場合はどうすればよいですか。

サービスのアクティブ化

管理権限を持つアカウントのみを使用して、特定の Alibaba Cloud サービスをアクティブ化できます。管理権限のない RAM ユーザーとしてログインすると、サービスのアクティブ化に失敗する可能性があります。この問題を防ぐには、[サービスのアクティブ化] ベースライン項目を設定して、アカウントの作成時に自動的にアクティブ化される選択した Alibaba Cloud サービスを指定します。

なし

• CEN とは

• CDT とは

• CloudMonitor とは

• Key Management Service とは

• プロダクトのアクティベーションステップでエラーが発生した場合は、どうすればよいですか？

RAM ロール

リソースディレクトリに対する管理権限を持つ Alibaba Cloud アカウントの RAM ロールを作成できます。アカウントは、信頼できるエンティティとして RAM ロールを引き受けて O&M を実行できるため、リスクが軽減されます。

なし

RAM ロールの概要

ECS キーペア

キーペアを特定のアカウントにプッシュします。インスタンスの作成時にキーペアを指定するか、インスタンスの作成後にキーペアをバインドできます。その後、キーを使用してインスタンスに接続できます。

なし

SSH キーペアの概要

ECS 共有イメージ

共有イメージは、異なるアカウントに属する ECS インスタンスにデプロイできます。他の Alibaba Cloud アカウントとイメージを共有できます。

なし

カスタムイメージを共有する

事前定義タグ

事前定義タグは、事前に作成したタグであり、すべての Alibaba Cloud リージョンのリソースで使用できます。タグ計画の段階で事前定義タグを作成し、タグ実装の段階で特定のクラウドリソースに追加できます。

なし

ApsaraDB RDS インスタンスにタグを追加する

RAM ユーザーセキュリティ設定

RAM ユーザーのグローバルセキュリティ設定を管理して、RAM ユーザーのセキュリティを向上させることができます。RAM ユーザーがパスワードを変更できるかどうか、多要素認証 (MFA) デバイスを有効にするかどうかを指定し、ログインセッションの有効期間を指定できます。

なし

RAM ユーザーのセキュリティ設定の管理

RAM ロールベース SSO の設定

SAML (Security Assertion Markup Language) ID プロバイダー (IdP) に基づいて、ロールベースのシングルサインオン (SSO) を実装できます。ロールベース SSO を使用すると、企業はローカル IdP でユーザーを管理でき、IdP から Alibaba Cloud にユーザーを同期する必要がありません。さらに、企業の従業員は特定の RAM ロールを使用して Alibaba Cloud にログインできます。

なし

SAML IdP を管理する

クラウドサービス

サービス ID

サービスにリンクされたロール

権限ポリシー

ARMS

arms.aliyuncs.com

AliyunServiceRoleForARMS

AliyunServiceRolePolicyForARMS

NAT Gateway (NAT)

nat.aliyuncs.com

AliyunServiceRoleForNatgw

AliyunServiceRolePolicyForNatgw

EventBridge

source-cms.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeSourceCMS

AliyunServiceRolePolicyForEventBridgeSourceCMS

connect-vpc.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeConnectVPC

AliyunServiceRolePolicyForEventBridgeConnectVPC

source-actiontrail.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeSourceActionTrail

AliyunServiceRolePolicyForEventBridgeSourceActionTrail

DMS (Data Management)

dms.aliyuncs.com

AliyunDMSDefaultRole

AliyunDMSRolePolicy

dms.aliyuncs.com

AliyunServiceRoleForDMS

AliyunServiceRolePolicyForDMS

DTS (Data Transmission Service)

dts.aliyuncs.com

AliyunDTSDefaultRole

AliyunDTSRolePolicy

dms.aliyuncs.com

AliyunServiceRoleForDMS

AliyunServiceRolePolicyForDMS

ACK (Container Service for Kubernetes)

cs.aliyuncs.com

AliyunCSDefaultRole

AliyunCSDefaultRolePolicy

AliyunCSKubernetesAuditRole

AliyunCSKubernetesAuditRolePolicy

AliyunCSManagedArmsRole

AliyunCSManagedArmsRolePolicy

AliyunCSManagedCmsRole

AliyunCSManagedCmsRolePolicy

AliyunCSManagedCsiRole

AliyunCSManagedCsiRolePolicy

AliyunCSManagedKubernetesRole

AliyunCSManagedKubernetesRolePolicy

AliyunCSManagedLogRole

AliyunCSManagedLogRolePolicy

AliyunCSManagedNetworkRole

AliyunCSManagedNetworkRolePolicy

AliyunCSManagedVKRole

AliyunCSManagedVKRolePolicy

AliyunCSServerlessKubernetesRole

AliyunCSServerlessKubernetesRolePolicy

AliyunCSManagedNlcRole

AliyunCSManagedNlcRolePolicy

AliyunCSManagedAutoScalerRole

AliyunCSManagedAutoScalerRolePolicy

AliyunCSManagedCsiProvisionerRole

AliyunCSManagedCsiProvisionerRolePolicy

AliyunCSManagedCsiPluginRole

AliyunCSManagedCsiPluginRolePolicy

oos.aliyuncs.com

AliyunOOSLifecycleHook4CSRole

AliyunOOSLifecycleHook4CSRolePolicy

Function Compute

fc.aliyuncs.com

AliyunFCDefaultRole

AliyunFCDefaultRolePolicy

Simple Log Service (SLS)

log.aliyuncs.com

AliyunLogArchiveRole

AliyunLogArchiveRolePolicy

CLB (Classic Load Balancer)

slb.aliyuncs.com

SLBLogDefaultRole

AliyunSLBRolePolicy

slb.aliyuncs.com

AliyunSLBHealthDiagnoseRole

AliyunSLBHealthDiagnoseRolePolicy

マイクロサービスエンジン (MSE)

mse.aliyuncs.com

AliyunServiceRoleForMSE

AliyunServiceRolePolicyForMSE

VPN ゲートウェイ

vpn.aliyuncs.com

AliyunServiceRoleForVpn

AliyunServiceRolePolicyForVpn

Platform for AI (PAI)

pai.aliyuncs.com

AliyunPaiCustomerClusterManagementRole

AliyunPaiCustomerClusterManagementRolePolicy

AliyunPAIDatasetAccDefaultRole

AliyunPAIDatasetAccDefaultRolePolicy

AliyunPAIDLCAccessingOSSRole

AliyunPAIDLCAccessingOSSRolePolicy

AliyunPAIAccessingOSSRole

AliyunPAIAccessingOSSRolePolicy

AliyunPAIDLCDefaultRole

AliyunPAIDLCDefaultRolePolicy

AliyunPAIDSWDefaultRole

AliyunPAIDSWDefaultRolePolicy

langstudio.pai.aliyuncs.com

AliyunPAILangStudioDefaultRole

AliyunPAILangStudioDefaultRolePolicy

odps.aliyuncs.com

AliyunODPSPAIDefaultRole

AliyunODPSPAIRolePolicy