すべてのプロダクト
Search

このプロダクト

    Cloud Config:複数アカウントのリソースコンプライアンスの確認

    ドキュメントセンター

    Cloud Config:複数アカウントのリソースコンプライアンスの確認

    最終更新日:Jun 21, 2026

    このトピックでは、リソースディレクトリの管理アカウントを使用して、複数のメンバーアカウントにまたがる Object Storage Service (OSS) バケットのコンプライアンスを確認する方法を説明します。この例では、OSS コンプライアンス管理のベストプラクティス コンプライアンスパッケージテンプレートを使用して、2 つのメンバーアカウントのバケットを評価し、非準拠イベントを Simple Log Service に配信します。

    前提条件

    • リソースディレクトリが有効化され、リソースディレクトリに 2 つのメンバーアカウントが作成されていること。詳細については、「リソースディレクトリの有効化」および「メンバーの作成」をご参照ください。

    • OSS が有効化され、2 つのメンバーアカウント用にバケットが作成されていること。詳細については、「OSS コンソールの使用開始」をご参照ください。

    • Cloud Config が有効化されています。Cloud Config の有効化

    • Simple Log Service が有効化されています。Simple Log Service の有効化

      重要

      Simple Log Service の有効化は無料です。Cloud Config がリソースデータを Simple Log Service に配信する際や、ログのクエリと分析を行う際に課金されます。課金概要

    背景情報

    管理アカウントは Cloud Config を使用して、すべてのメンバーアカウントのリソースリスト、設定変更履歴、およびコンプライアンスステータスを表示できます。また、これらのリソースの設定コンプライアンスを監視することもできます。メンバーアカウントは、自身のアカウントグループ、および管理アカウントによって作成されたルール、コンプライアンスパッケージ、配信を表示できます。メンバーアカウントは、現在のアカウント タブで独自にリソースコンプライアンスを確認し、配信を設定することもできます。

    ステップ 1:アカウントグループの作成

    リソースディレクトリでメンバーアカウントを作成した後、Cloud Config でアカウントグループを作成し、そのアカウントグループにメンバーアカウントを追加できます。アカウントグループを使用して、アカウントグループ内のすべてのメンバーアカウントのリソースとコンプライアンスを一元的に管理できます。

    1. Cloud Config コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アカウントグループ をクリックします。

    3. アカウントグループ ページで、アカウントグループの作成 をクリックします。

    [Create Account Group] ページで、[Account Group Name][Description] を入力します。[Account Group Type] で、[Custom] を選択します。メンバーリストから、[management account] などのターゲットメンバーアカウントを選択し、[Submit] をクリックします。

    アカウントグループ リストのステータスが [Created] になると、アカウントグループが正常に作成されたことを示します。

    ステップ 2:リソースリストの表示

    アカウントグループ内の 2 つのメンバーアカウントのリソースをリージョンをまたいで表示できます。

    1. 左上隅で、管理するアカウントグループを選択します。

    2. 左側のナビゲーションウィンドウで、[リソース] > [グローバルリソース] を選択します。

    [Global Resources] ページで、[Resource ID][Resource Type][Region]、または [Resource Status] でリソースをフィルターできます。各リソースのコンプライアンス結果がリストに表示されます。

    ステップ 3:コンプライアンスパッケージの作成

    OSS コンプライアンス管理のベストプラクティス コンプライアンスパッケージテンプレートのデフォルトのルールを使用して、現在のアカウントグループのメンバーアカウント内のバケットのコンプライアンスを迅速に確認できます。

    1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [コンプライアンスパッケージ] を選択します。

    2. コンプライアンスパッケージ ページで、左上隅にある コンプライアンスパッケージの作成 をクリックします。

    3. Select Template (Optional) ページで、OSS コンプライアンス管理のベストプラクティス テンプレートカードの右上隅にある image.png アイコンをクリックし、次へ をクリックします。

    4. 基本プロパティの設定 ページで、コンプライアンスパッケージの名前を入力します。他のパラメーターはデフォルト値のままにし、次へ をクリックします。

    5. ルールの選択 ページでは、OSS コンプライアンス管理のベストプラクティス テンプレートのすべてのルールがデフォルトで選択されています。次へ をクリックします。

    6. Set Rule Parameters ページで、ルールの必須パラメーターを設定し、OK をクリックします。[allowReferers] パラメーターでは、期待値フィールドにホットリンク保護のホワイトリストを入力します。[allowEmptyReferer] パラメーターの期待値は、デフォルトで true です。

      説明

      ルールのパラメーター設定の詳細については、「Cloud Config がサポートする Alibaba Cloud サービスとリソースタイプ」の [Resource type] 列をご参照ください。

    ステップ 4:コンプライアンス評価結果の表示

    アカウントグループ内のすべてのメンバーアカウントのバケットに対するコンプライアンスパッケージ内のルールの評価結果を表示し、非準拠の設定を修復できます。

    1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [コンプライアンスパッケージ] を選択します。

    2. コンプライアンスパッケージ ページで、ステップ 3 で作成したコンプライアンスパッケージの ID をクリックします。[Compliance Package] リストページでは、[Compliance Package Status][Non-compliant Resources] の数、[Risk Level] など、各パッケージの評価詳細を表示できます。

    3. 右上隅の レポートのダウンロード をクリックし、Download Compliance Report ダイアログボックスで OK をクリックします。レポートが生成されたら、再度 [Download Report] をクリックし、確認ダイアログボックスで [OK] をクリックしてファイルをダウンロードします。

      ZIP パッケージが取得されます。ZIP パッケージを解凍すると、メンバーアカウント ID とメンバーアカウント名で名付けられた Excel 形式の 2 つのコンプライアンスレポートが取得されます。

    4. Excel レポートのいずれかを開きます。非準拠リソース タブで、バケット ID または名前で非準拠のルールをフィルターし、[Remediation Suggestions] 列で提案されている修正を適用します。

    ステップ 5:リソースの非準拠イベントを Simple Log Service に配信

    アカウントグループ内のすべてのメンバーアカウントのリソースの非準拠イベントの配信を、Simple Log Service の指定された Logstore に設定し、イベントのクエリと分析を行うことができます。

    1. 配達 ページで、左上隅にある 配信の作成 をクリックします。

    2. 配信の作成 ページで、配達名 を入力します。チャネルタイプ で、Simple Log Service (SLS) を選択します。受信内容 で、リソースのコンプライアンス違反イベント を選択します。ログプロジェクトソース で、このアカウントに新しいログアイテムを作成 を選択します。次に、ログプロジェクトのリージョン を選択し、ログプロジェクト名Logstore 名 を入力します。リソースタイプはデフォルト値のままにします。デフォルトでは、すべてのリソースタイプが含まれます。

    3. 確定 をクリックします。

    4. 操作の確認 ダイアログボックスで OK をクリックします。

      新しく作成された配信タスクは、アカウントグループ内のすべてのメンバーアカウントにのみ有効になります。

      Cloud Config は、Simple Log Service コンソールに自動的にプロジェクトと Logstore を作成し、非準拠イベントをこの Logstore に配信します。

      重要

      Cloud Config がリソースデータを Simple Log Service に配信する際や、クエリと分析機能を使用する際に課金されます。課金を停止するには、Simple Log Service コンソールでプロジェクトを削除してください。これにより、データ配信が無効になり、これ以上のデータ配信が停止されます。プロジェクトの管理

    5. 配信された非準拠イベントを表示、クエリ、分析します。

      1. 配達] ページで、作成した配信の ID をクリックします。

      2. データ配信の詳細ページで、拡張情報 セクションの Logstore 名 を見つけ、Logstore 名をクリックして Simple Log Service コンソールで開きます。

      3. エラー ダイアログボックスで、シャットダウン をクリックします。このエラーコード IndexConfigNotExist は、Logstore のインデックスが有効になっていないことを示しています。

        説明

        Cloud Config から作成された Logstore は、デフォルトでインデックスが有効になっていません。

      4. Logstore のインデックスを有効にします。

        インデックスの作成

      5. Logstore 内のログをクエリおよび分析します。

        クエリと分析のクイックスタート

        説明

        JSON フォーマットの例:リソース非準拠イベントのサンプル