信頼できるサービスは、リソースディレクトリで使用できる Alibaba Cloud サービスです。リソースディレクトリを使用すると、信頼できるサービスが、メンバーやフォルダーなど、リソースディレクトリ内の情報にアクセスできるようになります。信頼できるサービスの管理アカウントまたは委任管理者アカウントを使用して、組織に基づいてビジネス運用を管理できます。これにより、企業のクラウドサービスの統合管理が簡素化されます。たとえば、Cloud Config をリソースディレクトリと統合すると、管理アカウントは Cloud Config 内のすべてのメンバーのリソースリスト、構成履歴、およびコンプライアンスステータスを表示できます。また、このアカウントはリソース構成のコンプライアンスをモニターすることもできます。
信頼できるサービスの使用方法
信頼できるサービスは、そのサービスのコンソールで、またはその API 操作を呼び出すことによって使用できます。次のステップでは、コンソールで信頼できるサービスを使用する方法について説明します。
[Resource Management コンソール] で、管理アカウントを使用してリソースディレクトリを有効にします。
詳細については、「リソースディレクトリを有効にする」をご参照ください。
[Resource Management コンソール] で、管理アカウントを使用して企業の組織構造を設定します。メンバーを作成したり、既存の Alibaba Cloud アカウントを組織に招待したりできます。
詳細については、「フォルダーの作成」、「メンバーの作成」、および「Alibaba Cloud アカウントをリソースディレクトリに招待する」をご参照ください。
(任意) [Resource Management コンソール] で、管理アカウントを使用して、メンバーを信頼できるサービスの委任管理者アカウントとして設定します。
信頼できるサービスの委任管理者アカウントを設定しない場合は、管理アカウントを使用して、信頼できるサービスでビジネス運用を管理する必要があります。
委任管理者アカウントの設定方法の詳細については、「委任管理者アカウントの追加」をご参照ください。
説明このステップは、委任管理者アカウントをサポートする信頼できるサービスにのみ適用されます。
信頼できるサービスのコンソールで、管理アカウントまたは委任管理者アカウントを使用して、複数アカウント管理機能を有効にします。次に、リソースディレクトリの組織構造に基づいて管理するメンバーを選択し、選択したメンバーのビジネス運用を管理します。
操作は、信頼できるサービスによって異なります。詳細については、「サポートされている信頼できるサービス」セクションの「リファレンス」列をご参照ください。
サポートされている信頼できるサービス
信頼できるサービス | 信頼できるサービス識別子 | 機能紹介 | 委任管理者アカウントのサポート | リファレンス |
Cloud Config | config.aliyuncs.com | Cloud Config をリソースディレクトリと統合すると、管理アカウントは Cloud Config 内のすべてのメンバーのリソースリスト、構成履歴、およびコンプライアンスステータスを表示できます。また、このアカウントはリソース構成のコンプライアンスをモニターすることもできます。 | はい | |
ActionTrail | actiontrail.aliyuncs.com | ActionTrail をリソースディレクトリと統合すると、管理アカウントは ActionTrail でマルチアカウントトレイルを作成できます。マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーのイベントを Object Storage Service (OSS) バケットまたは Simple Log Service (SLS) Logstore に配信します。 | はい | |
Security Center | sas.aliyuncs.com | Security Center をリソースディレクトリと統合すると、Security Center は、企業内のすべてのメンバーに対して検出されたセキュリティリスクを表示するための統一されたインターフェイスを提供します。 | はい | |
Cloud Firewall | cloudfw.aliyuncs.com | Cloud Firewall をリソースディレクトリと統合すると、複数のアカウントにまたがるパブリック IP アドレスが割り当てられた資産を集中管理し、防御ポリシーを構成し、ログ分析結果を表示できます。これにより、一元的なセキュリティコントロールが実装されます。 | はい | |
DCDN | multiaccount.dcdn.aliyuncs.com | DCDN をリソースディレクトリと統合すると、DCDN は、異なるアカウントやプロダクトに属するドメイン名リソースの管理を統合するための複数アカウント管理機能を提供します。 | いいえ | なし |
ハイブリッドクラウド監視 | cloudmonitor.aliyuncs.com | ハイブリッドクラウド監視をリソースディレクトリと統合して、企業の Alibaba Cloud アカウント全体のリソースを簡単にモニターします。 | はい | |
CloudSSO | cloudsso.aliyuncs.com | 管理アカウントは CloudSSO を使用して、企業内の Alibaba Cloud のユーザーを集中管理し、企業の ID 管理システムと Alibaba Cloud の間でシングルサインオン (SSO) を構成し、リソースディレクトリ内のメンバーに対するユーザーアクセス権限を構成できます。 | はい | |
ログ監査サービス | audit.log.aliyuncs.com | ログ監査サービスは、複数アカウント環境でのクラウドリソースログの自動化された一元的な収集をサポートし、ログの監査と分析を行います。 | はい | |
リソースオーケストレーションサービス | ros.aliyuncs.com | 管理アカウントは、ワンクリックでリソースディレクトリのメンバーのためにシステムが依存するクラウドリソースをデプロイできます。これにより、複数アカウント環境での一元的なリソース管理のニーズに対応します。 | はい | |
リソース共有 | resourcesharing.aliyuncs.com | 管理アカウントが組織のリソース共有を有効にすると、指定したメンバー、指定したフォルダー、またはリソースディレクトリ全体とクラウドリソースを共有できます。フォルダーまたはリソースディレクトリに追加された新しいメンバーは、自動的に共有リソースへのアクセス権を取得します。フォルダーまたはリソースディレクトリから削除されたメンバーは、自動的に共有リソースへのアクセス権を失います。 | いいえ | |
Cloud Governance Center | governance.aliyuncs.com | 管理アカウントは Cloud Governance Center を使用して、企業内のすべてのメンバーのリソースの分布と傾向を表示し、コンプライアンス監査保護ルールを構成し、監査ログを配信できます。 | いいえ | |
タグ | tag.aliyuncs.com | 管理アカウントは、タグルールの複数アカウントモードを有効にして、リソースディレクトリ内のメンバーのタグ操作を標準化できます。 | はい | |
Service Catalog | servicecatalog.aliyuncs.com | Service Catalog のプロダクトポートフォリオをリソースディレクトリ内の複数のメンバーと共有します。プロダクトポートフォリオの構成が変更されると、変更はリアルタイムで共有メンバーに同期されます。これにより、管理効率が大幅に向上します。 | はい | |
Quota Center | quotas.aliyuncs.com | クォータテンプレートを作成して、新しいメンバーがリソースディレクトリに追加されたときに、クォータ申請を自動的に送信します。 | いいえ | |
Network Intelligence Service (NIS) | nis.aliyuncs.com | 企業の複数のアカウントにまたがるネットワークプロダクトを集中表示および分析できます。 | はい | |
リソースセンター | resourcecenter.aliyuncs.com | リソースセンターは、アカウント、プロダクト、リージョンをまたがるリソースの統一されたビューと検索機能を提供します。 | はい | |
メッセージセンター | messagecenter.aliyuncs.com | 企業内の複数のアカウントのメッセージ連絡先を管理できます。 | いいえ | |
カーボンフットプリント | energy.aliyuncs.com | 管理アカウントが、企業のすべての Alibaba Cloud アカウントにわたるクラウドリソースからの温室効果ガス排出量データを統一されたインターフェイスで表示できるようにします。 | はい | |
Web Application Firewall 3.0 | waf.aliyuncs.com | メンバーアカウントのクラウドプロダクトリソースに一元的にアクセスできます。これにより、リソースを WAF に追加し、統一されたセキュリティポリシーを構成できます。 | はい | |
Anti-DDoS Origin | ddosbgp.aliyuncs.com | 複数のアカウント間で Anti-DDoS インスタンスを共有できます。 | はい | |
Bastionhost | bastionhost.aliyuncs.com | 単一の踏み台ホストを使用して、複数の Alibaba Cloud アカウントにまたがる資産を集中管理できます。これにより、統一された O&M とコントロールの実装に役立ちます。 | はい | |
Data Security Center | sddp.aliyuncs.com | 複数の Alibaba Cloud アカウントにまたがるデータ資産を管理します。分類結果、データ資産のリスク、および脅威イベントを集約、表示、管理して、セキュリティ運用の効率を向上させます。 | はい | |
Prometheus Service | prometheus.aliyuncs.com | 企業内の複数のアカウントにまたがる Prometheus インスタンスの統一されたモニタリングをサポートします。 | はい |
信頼できるサービスの有効化または無効化
信頼できるサービスは、そのサービスのコンソールで、またはその API 操作を呼び出すことによって有効または無効にできます。詳細については、特定のサービスのドキュメントをご参照ください。
Resource Management コンソールの左側のナビゲーションウィンドウで、 を選択して、信頼できるサービスのステータスを表示します。ただし、Resource Management コンソールで信頼できるサービスを有効または無効にすることはできません。
一部の信頼できるサービスは、特定の操作を実行すると自動的に有効になります。たとえば、ActionTrail でマルチアカウントトレイルを作成したり、サービスで初めてリソースディレクトリに関連するリソースを表示したりすると、サービスが有効になります。
一部の信頼できるサービスは、機能のオフなどの特定の操作を実行すると自動的に無効になります。信頼できるサービスが無効になると、リソースディレクトリ内のアカウントやリソースにアクセスできなくなります。さらに、リソースディレクトリとの統合に関連するすべてのリソースがサービスから削除されます。
信頼できるサービスとサービスリンクロール
リソースディレクトリは、各メンバーに対してサービスリンクロール AliyunServiceRoleForResourceDirectory を作成します。このロールは、信頼できるサービスに必要なロールを作成する権限をリソースディレクトリに付与します。このロールを偽装できるのはリソースディレクトリのみです。詳細については、「リソースディレクトリの RAM ロール」をご参照ください。
信頼できるサービスは、管理操作の実行に使用されるメンバーに対してのみ、Cloud Config の AliyunServiceRoleForConfig などのサービスリンクロールを作成します。このロールは、信頼できるサービスが特定のタスクを実行するために必要な権限を定義します。対応する信頼できるサービスのみがこのロールを偽装できます。
サービスリンクロールのアクセスポリシーは、対応する Alibaba Cloud サービスによって定義および使用されます。アクセスポリシーを変更または削除することはできません。また、サービスリンクロールにポリシーをアタッチしたり、ポリシーをデタッチしたりすることもできません。詳細については、「サービスリンクロール」をご参照ください。