Resource Directory サービスを使用すると、多数のアカウントとリソース間の関係を管理できます。
シナリオ
Resource Directory を使用すると、ビジネス要件に基づいて組織構造を迅速に確立し、企業のアカウントをこの構造に統合して、企業のリソースの階層を形成できます。 この方法で、アカウントとリソースを一元的に管理できます。 Resource Directory は、ネットワークデプロイメント、決済、ユーザー権限、セキュリティコンプライアンス、ログ監査などの側面における管理要件を満たすことができます。 次の説明は、Resource Directory の使用シナリオを示しています。
[ビジネス環境ベースの組織構造の作成]
企業にさまざまな支店、部門、またはプロジェクトがある場合、Resource Directory を使用して、ビジネス環境に基づいてクラウドに組織構造を構築できます。
[すべての Alibaba Cloud アカウントとリソースの一元管理]
企業に複数の Alibaba Cloud アカウントがある場合は、リソースディレクトリを有効にして、アカウントをリソースディレクトリに追加できます。 この方法で、アカウントとアカウント内のリソースを一元的に管理できます。
[請求書と請求書の一元管理]
リソースディレクトリにメンバーを作成し、すべての請求書と請求書の決済にそのメンバーを使用できます。
[権限とコンプライアンス要件の実装]
Resource Access Management (RAM) のポリシーと Resource Directory のアクセス制御ポリシーを使用して、異なるアカウントとディレクトリ構造に異なるリソースアクセスルールを構成できます。 これにより、担当者とリソース間の権限付与と管理チャネルが可能になり、リソースのセキュリティが確保されます。
[さまざまなエンタープライズレベルの Alibaba Cloud アプリケーションとの統合]
Resource Directory は、Alibaba Cloud の金融、コンプライアンス監査、クラウドセキュリティ、およびネットワークプラットフォームと統合されています。 この方法で、同じ組織構造を使用して、すべての企業アカウントとリソースを管理できます。
用語
用語 | 説明 |
管理アカウント | 管理アカウントとは、企業認証に合格した Alibaba Cloud アカウントです。 この Alibaba Cloud アカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントは、リソースディレクトリのスーパー管理者です。 リソースディレクトリ、およびリソースディレクトリ内のフォルダとメンバーに対するすべての管理権限を持っています。 各リソースディレクトリには、管理アカウントが 1 つだけあります。 管理アカウントのセキュリティを確保するために、次の操作を実行することをお勧めします。
説明 管理アカウントはリソースディレクトリに属しておらず、リソースディレクトリのアクセス制御ポリシーによる制限を受けません。 |
ルートフォルダ | ルートフォルダは、リソースディレクトリ内の他のすべてのフォルダの親フォルダです。 これらのフォルダは、ルートフォルダから始まる階層で編成されています。 |
フォルダ | フォルダは、リソースディレクトリ内の組織単位です。 フォルダは、企業の支店、事業部門、またはプロジェクトを示している場合があります。 各フォルダには、メンバーとサブフォルダを含めることができ、ツリー型の組織構造を形成します。 |
メンバー | メンバーは、リソースアカウントまたはクラウドアカウントにすることができます。 リソースディレクトリに作成されたメンバーはリソースアカウントです。 リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを他のリソースから分離するために使用されます。 既存の Alibaba Cloud アカウントをリソースディレクトリに参加するように招待できます。 Alibaba Cloud アカウントの所有者が招待を受け入れると、アカウントはリソースディレクトリのメンバーになります。 これらのメンバーはクラウドアカウントです。
|
RDPath | RDPath は、リソースディレクトリ内のリソースエンティティ (フォルダまたはメンバー) の場所を示します。 リソースエンティティの RDPath は、リソースエンティティの ID、リソースエンティティのすべての親フォルダの ID、およびリソースエンティティが属するリソースディレクトリの ID で構成されます。 RDPath は、次のいずれかの形式です。
フォルダーまたはメンバーの RDPath を確認する方法については、「フォルダーの基本情報を表示する」または「メンバーの詳細情報を表示する」をご参照ください。 |
アクセス制御ポリシー | アクセス制御ポリシーを使用すると、リソースディレクトリ内のフォルダまたはメンバーの権限境界を一元的に管理できます。 アクセス制御ポリシーは、リソースディレクトリに基づいて実装されます。 アクセス制御ポリシーを使用して、アクセス制御の共通ルールまたは専用ルールを開発できます。 アクセス制御ポリシーは権限を付与するのではなく、権限境界を定義するだけです。 リソースディレクトリのメンバーであるアカウントを使用してリソースにアクセスする前に、RAM サービスを使用して必要な権限をアカウントに付与する必要があります。 アクセスコントロールポリシーの詳細については、「概要」をご参照ください。 |
信頼されたサービス | 信頼されたサービスとは、Resource Directory サービスと統合された Alibaba Cloud サービスを指します。 Alibaba Cloud サービスが Resource Directory と統合されると、サービスは関連するリソースディレクトリの情報 (リソースディレクトリ内のメンバーやフォルダなど) にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼されたサービスの委任管理者アカウントを使用して、リソースディレクトリに基づいて信頼されたサービスでビジネスを管理できます。 これにより、企業がアクティブ化したクラウドサービスの統合管理が簡素化されます。 たとえば、Cloud Config が Resource Directory と統合されると、リソースディレクトリの管理アカウントを使用して、Cloud Config の関連情報を表示できます。 情報には、リソースディレクトリ内のすべてのメンバーのリソース、およびリソースの構成履歴とコンプライアンスステータスが含まれます。 Cloud Config でリソース構成のコンプライアンスを監視することもできます。 信頼済みサービスの詳細については、「概要」をご参照ください。 |
委任管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを信頼されたサービスの委任管理者アカウントとして指定できます。 メンバーが信頼されたサービスの委任管理者アカウントとして指定されると、メンバーを使用して信頼されたサービス内のリソースディレクトリの情報にアクセスできます。 情報には、リソースディレクトリの構造とメンバーが含まれます。 メンバーを使用して、リソースディレクトリ内のビジネスを管理することもできます。 委任管理者アカウントを使用すると、組織管理タスクとビジネス管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクを実行するために使用されます。 委任管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクを実行するために使用されます。 これは、セキュリティ関連の要件を満たしています。 詳細については、「デリゲートされた管理者アカウントの管理」をご参照ください。 |
手順
管理アカウントとして使用できるアカウントを使用して、Resource Management コンソール にログオンします。
リソースディレクトリを有効にします。
詳細については、「リソースディレクトリを有効化する」をご参照ください。
フォルダを作成して、企業の組織構造を構築します。
詳細については、「フォルダーを作成する」をご参照ください。
リソースディレクトリにメンバーを作成するか、既存の Alibaba Cloud アカウントをリソースディレクトリに参加するように招待します。 次に、ビジネス要件に基づいて、すべてのメンバーを作成したフォルダに移動します。
詳細については、「メンバーを作成する」、「Alibaba Cloud アカウントをリソースディレクトリに招待する」、および「メンバーを移動する」をご参照ください。
制限
項目 | 上限 | 調整可能 | 備考 |
Alibaba Cloud アカウントを使用して作成できるリソースディレクトリの数 | 1 | 該当なし | リソースディレクトリのメンバーを使用してリソースディレクトリを作成することはできません。 |
リソースディレクトリ内のルートフォルダの数 | 1 | 該当なし | 該当なし |
リソースディレクトリ内のフォルダの数 | 100 | ルートフォルダは含まれません。 | |
フォルダレベルの数 | 5 | 該当なし | ルートフォルダは含まれません。 |
リソースディレクトリ内のメンバーの数 | 20 | 該当なし | |
1 日あたりの有効な招待の数 | 20 | 承諾された招待は含まれません。 | |
招待の有効期限 | 14 日 | 該当なし | 該当なし |
セキュリティのために携帯電話番号をメンバーにバインドする際に 1 日に送信できる確認コードの数 | 100 | 該当なし | 該当なし |
リソースディレクトリに作成できるカスタムアクセス制御ポリシーの数 | 1,500 | 該当なし | 該当なし |
各フォルダまたはメンバーにアタッチできるカスタムアクセス制御ポリシーの数 | 10 | 該当なし | |
各カスタムアクセス制御ポリシーに含めることができる文字数 | 4,096 | 該当なし | 該当なし |
30 暦日ごとに削除できるメンバーの数 | 30 暦日の期間は、最初のメンバー削除タスクが開始された時点から始まります。 次の説明は、各期間に削除できるメンバー数の上限を示しています。
| 該当なし | |
リソースディレクトリ内の連絡先の数 | 10 | 該当なし |
請求
このサービスは無料です。 アクティブ化後すぐに使用できます。
無料ではない信頼されたサービスを有効にするか、メンバーを使用して Alibaba Cloud サービスをアクティブにする場合、サービスの請求方法に基づいて課金されます。