リソースディレクトリの管理アカウントを使用して、メンバーアカウントを Cloud Config の委任管理者アカウントとして指定できます。委任管理者アカウントが構成されると、委任管理者アカウントは、アカウントグループの管理、各アカウントグループのメンバーアカウントのリソースの表示、各アカウントグループのコンプライアンスパッケージとルールの管理、およびリソースデータ配信の構成を行う権限が付与されます。
前提条件
管理アカウントを使用して Cloud Config コンソールにログインします。
リソースディレクトリが有効になっています。詳細については、「リソースディレクトリを有効にする」をご参照ください。
メンバーアカウントがリソースディレクトリに作成されているか、Alibaba Cloud アカウントがリソースディレクトリへの参加に招待されています。詳細については、「メンバーを作成する」および「Alibaba Cloud アカウントをリソースディレクトリに参加するように招待する」をご参照ください。
背景情報
委任管理者アカウントの詳細については、「委任管理者アカウントの管理」をご参照ください。
シナリオ
委任管理者アカウントを使用すると、組織管理タスクと監査タスクを分離できます。これは、ビジネスのクラウドセキュリティ管理にとって不可欠です。
デフォルトでは、リソースディレクトリの管理アカウントは、企業のスーパーユーザーとして機能します。 IT 管理のベストプラクティスを実現するために、管理アカウントの焦点をリソース構成管理ではなく、リソースディレクトリの組織管理に置くことをお勧めします。これにより、過剰な権限を持つ管理アカウントによって誤操作が実行されるのを防ぎます。メンバーアカウントを委任して、ビジネスのリソースディレクトリでグローバルリソース管理操作を実行できます。たとえば、管理アカウントを使用して、メンバーアカウントを Cloud Config の委任管理者アカウントとして指定できます。その後、企業の監査部門は、委任管理者アカウントを所有および使用して、リソースコンプライアンスを評価し、リソースデータを配信できます。
委任管理者アカウントを追加する
リソースディレクトリのメンバーアカウントを Cloud Config の委任管理者アカウントとして指定して、監視対象リソースを評価できます。管理アカウントは、Cloud Config の権限を委任管理者アカウントと共有します。従業員は、委任管理者アカウントを使用して、アカウントグループの管理、アカウントグループのメンバーアカウントのリソースの表示、アカウントグループのコンプライアンスパッケージとルールの管理、およびリソースデータの配信を行うことができます。
リソースディレクトリの管理アカウントを使用して、[リソース管理コンソール] で委任管理者アカウントを追加できます。詳細については、「委任管理者アカウントを追加する」をご参照ください。
Cloud Config に追加できる委任管理者アカウントは 1 つだけです。
委任管理者アカウントを変更する
メンバーアカウントを Cloud Config の委任管理者アカウントとして指定した後、このアカウントを変更しないことをお勧めします。指定したアカウントを変更する必要がある場合は、最初に元の委任管理者アカウントを削除する必要があります。その後、新しい委任管理者アカウントを指定できます。
[リソース管理コンソール] にログインし、管理アカウントを使用して Cloud Config の元の委任管理者アカウントを削除します。
詳細については、「委任管理者アカウントを削除する」をご参照ください。
説明この操作では、管理アカウントによって共有されている権限が元の委任管理者アカウントから削除されるだけです。元の委任管理者アカウントの構成は保持されます。
リソース管理コンソールで、新しい委任管理者アカウントを指定します。
詳細については、「委任管理者アカウントを追加する」をご参照ください。
説明新しい委任管理者アカウントには、元の委任管理者アカウントが持っていたすべての権限があります。
[Cloud Config コンソール] で、従業員は新しい委任管理者アカウントを使用して、アカウントグループの管理、アカウントグループのメンバーアカウントのリソースの表示、アカウントグループのコンプライアンスパッケージとルールの管理、およびリソースデータの配信を行うことができます。