エンタープライズ実名検証に合格したAlibaba Cloudアカウントを使用して、リソースディレクトリを有効にできます。 このようなアカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントには、リソースディレクトリ、およびリソースディレクトリ内のフォルダーとメンバーに対するすべての管理権限があります。 各リソースディレクトリの管理アカウントは 1 つだけです。 このトピックでは、リソースディレクトリの管理アカウントのベストプラクティスについて説明します。 管理アカウントのセキュリティを向上させるためのガイドとして、ベストプラクティスを使用できます。
管理アカウントを使用して必要な操作のみを実行する
リソースディレクトリの管理アカウントには、リソースディレクトリ内のメンバーに対するすべての管理権限があります。 管理アカウントを使用して、必要な操作のみを実行することを推奨します。 さらに、リソースディレクトリを管理する必要がない担当者には、アカウントに対するアクセス権限がないことを確認する必要があります。
管理アカウントのRAMユーザーを作成し、AliyunResourceDirectoryFullAccessポリシーをRAMユーザーにアタッチできます。 リソースディレクトリをRAMユーザーとして管理できます。
AliyunResourceDirectoryFullAccessポリシーは、リソースディレクトリに対する最高の権限を定義します。 RAMユーザーとして特定の操作のみを実行する場合は、操作の実行に必要な権限のみをRAMユーザーに付与することをお勧めします。 権限の詳細については、「リソースディレクトリ」をご参照ください。
管理アカウント内にリソースをデプロイしない
管理アカウント内にリソースをデプロイしないことを推奨します。 アクセス制御ポリシーは管理アカウントに対して有効になりません。 この場合、アクセス制御ポリシーは、管理アカウント内のリソースに対して実行される操作を制限できません。 管理アカウント内にリソースをデプロイする場合は、管理アカウントのアクセス許可をビジネス担当者に付与する必要があります。 これにより、管理アカウントのリスクが高まります。
委任された管理者アカウントを使用して管理アカウントの責任を分散
リソースディレクトリ管理タスクとビジネス管理タスクを分離することを推奨します。 リソースディレクトリの管理アカウントを使用してリソースディレクトリを管理し、信頼されたサービスの委任管理者アカウントを使用して信頼されたサービスのビジネスを管理します。
たとえば、セキュリティ管理者は、Cloud Firewallの委任管理者アカウントを使用して、Cloud Firewallでセキュリティ管理操作を実行します。 セキュリティ管理者は、リソースディレクトリの管理アカウントに対するアクセス許可を持っている必要はありません。