リソースディレクトリを使用して、複数のアカウントとリソース間の関係を管理できます。
シナリオ
リソースディレクトリを使用すると、ビジネス要件に基づいて組織構造を迅速に構築し、企業のアカウントをこの構造に統合して、企業のリソースの階層を作成できます。 アカウントとリソースを一元管理できます。 リソースディレクトリは、ネットワークの運用、決済、ユーザー権限、セキュリティコンプライアンス、ログ監査などの管理要件を満たすことができます。 リソースディレクトリの利用シナリオを以下に示します。
- ビジネス環境ベースの組織構造
企業にさまざまな支店や部門、プロジェクトがある場合に、リソースディレクトリを使用することで、クラウド内にビジネス環境に基づいた組織構造を構築できます。
- すべての Alibaba Cloud アカウントとリソースの一元管理
企業に複数の Alibaba Cloud アカウントがある場合、リソースディレクトリを有効化することで、リソースディレクトリにアカウントを追加できます。 アカウントとアカウント内のリソースを一元管理できます。
- 企業の請求書および請求明細の一元管理
リソースディレクトリにメンバーを作成して、そのメンバーですべての請求書や請求明細の決済を行うことができます。
- 権限とコンプライアンス要件の実装
Resource Access Management (RAM) のポリシーと リソースディレクトリのアクセス制御ポリシーで、さまざまなアカウントとディレクトリ構造に対してリソースアクセスに関する多彩なルールを設定できます。 これにより、人員とリソース間の承認および管理チャネルを確立し、リソースのセキュリティを確保できます。
- さまざまなエンタープライズレベルの Alibaba Cloud アプリケーションとの連携
リソースディレクトリは、Alibaba Cloud ファイナンス、コンプライアンス監査、クラウドセキュリティ、ネットワークプラットフォームと統合されています。 同じ組織構造で、すべての企業アカウントとリソースを管理できます。
用語
用語 | 説明 |
---|---|
管理アカウント | 管理アカウントはリソースディレクトリのスーパー管理者として、リソースディレクトリの有効化に使用されるアカウントです。 管理アカウントは、リソースディレクトリおよびリソースディレクトリのメンバーに対するあらゆる管理者権限を有します。 管理アカウントとして使用できるのは、企業の実名登録を完了した Alibaba Cloud アカウントのみです。 各リソースディレクトリの管理アカウントは 1 つだけです。 管理アカウントのセキュリティを確保するため、Alibaba Cloud カウントを作成して、管理アカウントのルートユーザーとして使用することを推奨します。 リソースディレクトリの有効化に、既存の Alibaba Cloud アカウントを使用しないでください。 また、管理アカウントに RAM ユーザーを作成して管理者権限を付与し、RAM ユーザーを使用してリソースディレクトリ全体を管理することも可能です。 リソースディレクトリは、リソースディレクトリの管理アカウントまたは管理者権限が付与された RAM ユーザーのみ操作できます。 説明 管理アカウントはリソースディレクトリに属さず、リソースディレクトリのアクセス制御ポリシーによる制限を受けません。 |
Root フォルダー | Root フォルダーは、リソースディレクトリ内の他のすべてのフォルダーの親フォルダーです。 これらのフォルダーは、Root フォルダーから始まる階層で構成されます。 |
フォルダー | フォルダーは、リソースディレクトリ内における組織単位です。 フォルダーは、企業の支店、事業部門、またはプロジェクトを表す場合があります。 各フォルダーには、ツリー状の組織構造をなすメンバーとサブフォルダーを含むことができます。 |
メンバー | メンバーには、リソースアカウントとクラウドアカウントがあります。 リソースディレクトリに作成されるメンバーは、リソースアカウントです。 リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを、他のリソースから分離するために使われます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。
|
RDP | リソースディレクトリパス (RDP) は、リソースディレクトリ内のリソースエンティティ (フォルダーまたはメンバー) の場所を表します。 リソースエンティティの RDP は、リソースエンティティの ID およびすべての親フォルダーの ID、リソースエンティティが属するリソースディレクトリの ID で構成されます。 RDP は、以下のいずれかの形式をとります。
フォルダーまたはメンバーの RDP を表示する方法の詳細については、「View the basic information of a folder」または「View the detailed information of a member」をご参照ください。 |
アクセス制御ポリシー | アクセス制御ポリシーを使用すると、リソースディレクトリ内のフォルダーまたはメンバーのアクセス権限の境界を一元管理できます。 アクセス制御ポリシーは、リソースディレクトリに基づいて実装されます。 アクセス制御ポリシーを使用して、アクセス制御における共通ルールまたは専用ルールを作成できます。 アクセス制御ポリシーはアクセス権限を付与せず、アクセス権限の境界のみを定義します。 リソースディレクトリのメンバーのアカウントでリソースにアクセスする前に、Resource Access Management (RAM) サービスでアカウントに必要な権限を付与する必要があります。 アクセス制御ポリシーの詳細については、「Overview」をご参照ください。 |
信頼済みサービス | 信頼済みサービスとは、リソースディレクトリサービスと連携する Alibaba Cloud サービスを指します。 Alibaba Cloud サービスは、リソースディレクトリと連携することで、関連のリソースディレクトリ内のメンバーやフォルダーなどの情報にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼されたサービスの代理管理者アカウントを使用することで、リソースディレクトリに基づき、信頼されたサービスでビジネスを管理できます。 企業でアクティブ化されたクラウドサービスをより簡単に一元管理できるようになります。 たとえば、Cloud Config を リソースディレクトリと連携し、リソースディレクトリの管理アカウントを使用することで、Cloud Config の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、リソースの構成履歴、コンプライアンス状況が含まれます。 Cloud Config では、リソース設定のコンプライアンスを監視できます。 信頼済みサービスの詳細は、「Overview」をご参照ください。 |
代理管理者アカウント | リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼されたサービスの代理管理者アカウントに指定できます。 信頼されたサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼されたサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満足します。 代理管理者アカウントの追加または削除する方法の詳細は「Manage a delegated administrator account」をご参照ください。 |
手順
- 管理アカウントとして使用できるアカウントを使用して、リソース管理コンソールにログインします。
- リソースディレクトリを有効化します。
詳細については、「リソースディレクトリの有効化」をご参照ください。
- フォルダーを作成して、企業の組織構造を構築します。
詳細については、「フォルダーの作成」をご参照ください。
- リソースディレクトリにメンバーを作成するか、または既存の Alibaba Cloud アカウントをリソースディレクトリに招待します。 次に、ビジネス要件に基づいて、作成したフォルダーにすべてのメンバーを移動します。
詳細については、「メンバーの作成」、「Invite an Alibaba Cloud account to join a resource directory」、「Move a member」をご参照ください。
制限事項
項目 | 上限 | 調整の可否 | 備考 |
---|---|---|---|
Alibaba Cloud アカウントを使用して作成できるリソースディレクトリの数 | 1 | N/A | リソースディレクトリのメンバーを使用してリソースディレクトリを作成することはできません。 |
リソースディレクトリ内の Root フォルダーの数 | 1 | N/A | なし。 |
リソースディレクトリ内のフォルダーの数 | 100 | クォータの申請 | Root フォルダーは含まれていません。 |
フォルダーの階層数 | 5 | N/A | Root フォルダーは含まれていません。 |
リソースディレクトリ内のメンバーの数 | 20 | クォータの申請 | なし。 |
1 日あたりの有効な招待の数 | 20 | クォータの申請 | 承諾された招待は含まれていません。 |
招待の有効期間 | 14 日間 | N/A | なし。 |
セキュリティの観点から携帯電話番号をメンバーにバインドするとき、1 日あたりで送信できる確認コードの数 | 100 | N/A | なし。 |
リソースディレクトリに作成可能なカスタムアクセス制御ポリシーの数 | 1,500 | N/A | なし。 |
各フォルダーやメンバーに付与可能なカスタムアクセス制御ポリシーの数 | 10 | クォータの申請 | なし。 |
各カスタムアクセス制御ポリシーの最大文字数 | 4,096 | N/A | なし。 |