企業が多数の Alibaba Cloud アカウントにまたがってワークロードを実行する場合、各アカウントごとにファイアウォール保護を個別に管理すると、可視性のギャップやポリシー適用の一貫性の欠如といった課題が生じます。Cloud Firewall のマルチアカウント管理機能は、すべてのアカウントにおける保護を単一のビューで統合します。1 つのコンソールから、全メンバーアカウントに対してトラフィックのリダイレクトおよび保護、ポリシー構成、トラフィック分析、侵入防止、攻撃防止、侵害検知、ログ監査、およびログ分析を実行できます。
アカウントの種類
Cloud Firewall のマルチアカウント管理は、Alibaba Cloud リソースディレクトリに基づいて構築されています。以下の 3 種類のアカウントにはそれぞれ異なる役割があります。
| アカウントの種類 | リソースディレクトリにおける役割 | Cloud Firewall における役割 |
|---|---|---|
| 管理アカウント | リソースディレクトリへの参加を他のアカウントに招待し、すべてのエンタープライズ資産を管理 | Cloud Firewall によって保護されるすべての資産を管理 |
| 委任された管理者アカウント | 管理アカウントにより指定されるアカウント。エンタープライズのすべての資産を管理でき、リソースディレクトリの構造およびメンバーにアクセス可能であり、その中で業務を管理可能 | Cloud Firewall によって保護されるすべての資産を管理 |
| メンバー | 管理アカウントからの招待によりリソースディレクトリに参加。自社の資産のみを管理 | Cloud Firewall を購入できません |
委任された管理者アカウントは、組織管理と業務管理を分離します。管理アカウントは組織レベルのタスクを担当し、委任された管理者アカウントはリソースディレクトリ全体にわたる Cloud Firewall の運用を担当します。
制限事項
マルチアカウント管理の対象は、インターネット境界ファイアウォール、VPC ファイアウォール、NAT ファイアウォール、およびセキュアなフォワードプロキシによって保護される資産です。
集中管理のために追加されたメンバーアカウントは、Cloud Firewall を購入できません。これらのアカウントの資産トラフィックは、一元的に管理されます。
エディション別のクォータの詳細については、「課金」をご参照ください。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
Cloud Firewall Premium Edition、Enterprise Edition、または Ultimate Edition — または従量課金方式の Cloud Firewall
マルチアカウント管理の設定
以下の手順を順に実行してください。ステップ 1~3 ではリソースディレクトリコンソールを使用し、ステップ 4 では Cloud Firewall コンソールを使用します。
ステップ 1:リソースディレクトリの有効化
リソースディレクトリを有効化するには、ご利用の Alibaba Cloud アカウントが「法人」による本名登録(本人確認)を完了している必要があります。個人による本名登録では不十分です。
設定手順および利用可能な 2 種類の有効化方法については、「リソースディレクトリの有効化」をご参照ください。選択する方法によって、取得する管理アカウントが異なります。
ステップ 2:メンバーの招待
Alibaba Cloud アカウントをリソースディレクトリに招待します。招待を受け入れた各アカウントは、メンバーとして登録されます。後から任意のメンバーを委任された管理者アカウントとして指定できます。
既存のアカウントを招待する場合は、「Alibaba Cloud アカウントをリソースディレクトリに招待する」をご参照ください。
招待可能なアカウントがない場合は、新しいメンバーを直接作成します。「メンバーの作成」をご参照ください。
ステップ 3:委任された管理者アカウントの追加
Cloud Firewall 用に、いずれかのメンバーを委任された管理者アカウントとして指定します。このアカウントは、Cloud Firewall コンソールの マルチアカウント管理 ページにアクセスでき、リソースディレクトリ全体にわたる管理操作を実行できます。
手順については、「委任された管理者アカウントの管理」をご参照ください。
ステップ 4:Cloud Firewall へのメンバー追加
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウント管理 を選択します。
マルチアカウント管理 ページで、メンバーの追加 をクリックします。
メンバーの追加 ダイアログボックスで、利用可能なメンバー セクションからメンバーを選択し、選択済みのメンバー セクションへ移動します。
選択済みのメンバー セクションで、必要なメンバーを選択し、OK をクリックします。
メンバーを追加した後、メンバー一覧には各アカウントの UID および名前が表示されます。この一覧から、任意のメンバーをいつでも削除できます。
メンバーを追加すると、デフォルトで Cloud Firewall がそのメンバーのリソースにアクセスできるようになります。
Cloud Enterprise Network (CEN) インスタンスにアタッチされた VPC を VPC ファイアウォールで保護しており、当該 VPC が Cloud Firewall の購入アカウントとは異なるアカウントに属している場合、Cloud Firewall が当該アカウントのクラウドリソースにアクセスできるよう、手動で権限付与を行う必要があります。「Cloud Firewall による他のクラウドリソースへのアクセス権限付与」をご参照ください。
次のステップ
メンバーを追加した後、ファイアウォール設定 ページに移動し、各メンバーアカウント内のクラウド資産を表示して、それらの資産に対する保護を有効化または無効化します。
複数のアカウントにまたがるエンタープライズセキュリティの包括的な管理手順については、「Cloud Firewall を使用したエンタープライズユーザーの一元管理」をご参照ください。