リソースディレクトリを使用して、複数のアカウントとリソース間の関係を管理できます。

シナリオ

リソースディレクトリを使用すると、ビジネス要件に基づいて組織構造を迅速に構築し、企業のアカウントをこの構造に統合して、企業のリソースの階層を作成できます。 アカウントとリソースを一元管理できます。 リソースディレクトリは、ネットワークの運用、決済、ユーザー権限、セキュリティコンプライアンス、ログ監査などの管理要件を満たすことができます。 リソースディレクトリの利用シナリオを以下に示します。

  • ビジネス環境ベースの組織構造

    企業にさまざまな支店や部門、プロジェクトがある場合に、リソースディレクトリを使用することで、クラウド内にビジネス環境に基づいた組織構造を構築できます。

  • すべての Alibaba Cloud アカウントとリソースの一元管理

    企業に複数の Alibaba Cloud アカウントがある場合、リソースディレクトリを有効化することで、リソースディレクトリにアカウントを追加できます。 アカウントとアカウント内のリソースを一元管理できます。

  • 企業の請求書および請求明細の一元管理

    リソースディレクトリにメンバーを作成して、そのメンバーですべての請求書や請求明細の決済を行うことができます。

  • 権限とコンプライアンス要件の実装

    Resource Access Management (RAM) のポリシーと リソースディレクトリのアクセス制御ポリシーで、さまざまなアカウントとディレクトリ構造に対してリソースアクセスに関する多彩なルールを設定できます。 これにより、人員とリソース間の承認および管理チャネルを確立し、リソースのセキュリティを確保できます。

  • さまざまなエンタープライズレベルの Alibaba Cloud アプリケーションとの連携

    リソースディレクトリは、Alibaba Cloud ファイナンス、コンプライアンス監査、クラウドセキュリティ、ネットワークプラットフォームと統合されています。 同じ組織構造で、すべての企業アカウントとリソースを管理できます。

用語

リソース管理
用語説明
管理アカウント

管理アカウントはリソースディレクトリのスーパー管理者として、リソースディレクトリの有効化に使用されるアカウントです。 管理アカウントは、リソースディレクトリおよびリソースディレクトリのメンバーに対するあらゆる管理者権限を有します。 管理アカウントとして使用できるのは、企業の実名登録を完了した Alibaba Cloud アカウントのみです。 各リソースディレクトリの管理アカウントは 1 つだけです。

管理アカウントのセキュリティを確保するため、Alibaba Cloud カウントを作成して、管理アカウントのルートユーザーとして使用することを推奨します。 リソースディレクトリの有効化に、既存の Alibaba Cloud アカウントを使用しないでください。 また、管理アカウントに RAM ユーザーを作成して管理者権限を付与し、RAM ユーザーを使用してリソースディレクトリ全体を管理することも可能です。 リソースディレクトリは、リソースディレクトリの管理アカウントまたは管理者権限が付与された RAM ユーザーのみ操作できます。

説明 管理アカウントはリソースディレクトリに属さず、リソースディレクトリのアクセス制御ポリシーによる制限を受けません。
Root フォルダーRoot フォルダーは、リソースディレクトリ内の他のすべてのフォルダーの親フォルダーです。 これらのフォルダーは、Root フォルダーから始まる階層で構成されます。
フォルダーフォルダーは、リソースディレクトリ内における組織単位です。 フォルダーは、企業の支店、事業部門、またはプロジェクトを表す場合があります。 各フォルダーには、ツリー状の組織構造をなすメンバーとサブフォルダーを含むことができます。
メンバー

メンバーには、リソースアカウントとクラウドアカウントがあります。 リソースディレクトリに作成されるメンバーは、リソースアカウントです。 リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを、他のリソースから分離するために使われます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。

  • リソースアカウント

    リソースディレクトリに作成されるメンバーは、リソースアカウントです。 リソースアカウントの root ユーザーは無効になっています。 そのため、リソースアカウントではより高いセキュリティが確保されます。 リソースアカウントの作成方法の詳細については、「メンバーの作成」をご参照ください。

  • クラウドアカウント

    リソースディレクトリに作成されるメンバーは、リソースアカウントです。 クラウドアカウントの root ユーザーが有効になっています。 Alibaba Cloud アカウントをリソースディレクトリに招待する方法の詳細は、「Invite an Alibaba Cloud account to join a resource directory」をご参照ください。

RDPリソースディレクトリパス (RDP) は、リソースディレクトリ内のリソースエンティティ (フォルダーまたはメンバー) の場所を表します。 リソースエンティティの RDP は、リソースエンティティの ID およびすべての親フォルダーの ID、リソースエンティティが属するリソースディレクトリの ID で構成されます。 RDP は、以下のいずれかの形式をとります。
  • フォルダーの RDP: <ID of the resource directory to which the folder belongs>/<ID of the Root folder in the resource directory>/.../<ID of the folder>.
  • メンバーの RDP: <ID of the resource directory to which the member belongs>/<ID of the Root folder in the resource directory>/.../<ID of the member>. たとえば、メンバー 181761095690**** の RDP は rd-r4****/r-oG****/fd-RIErN0****/fd-XVxh6D****/181761095690****.

フォルダーまたはメンバーの RDP を表示する方法の詳細については、「View the basic information of a folder」または「View the detailed information of a member」をご参照ください。

アクセス制御ポリシーアクセス制御ポリシーを使用すると、リソースディレクトリ内のフォルダーまたはメンバーのアクセス権限の境界を一元管理できます。 アクセス制御ポリシーは、リソースディレクトリに基づいて実装されます。 アクセス制御ポリシーを使用して、アクセス制御における共通ルールまたは専用ルールを作成できます。 アクセス制御ポリシーはアクセス権限を付与せず、アクセス権限の境界のみを定義します。 リソースディレクトリのメンバーのアカウントでリソースにアクセスする前に、Resource Access Management (RAM) サービスでアカウントに必要な権限を付与する必要があります。

アクセス制御ポリシーの詳細については、「Overview」をご参照ください。

信頼済みサービス信頼済みサービスとは、リソースディレクトリサービスと連携する Alibaba Cloud サービスを指します。 Alibaba Cloud サービスは、リソースディレクトリと連携することで、関連のリソースディレクトリ内のメンバーやフォルダーなどの情報にアクセスできます。 リソースディレクトリの管理アカウントまたは信頼されたサービスの代理管理者アカウントを使用することで、リソースディレクトリに基づき、信頼されたサービスでビジネスを管理できます。 企業でアクティブ化されたクラウドサービスをより簡単に一元管理できるようになります。 たとえば、Cloud Config を リソースディレクトリと連携し、リソースディレクトリの管理アカウントを使用することで、Cloud Config の関連情報を表示できます。この情報には、リソースディレクトリ内のすべてのメンバーのリソース、リソースの構成履歴、コンプライアンス状況が含まれます。 Cloud Config では、リソース設定のコンプライアンスを監視できます。

信頼済みサービスの詳細は、「Overview」をご参照ください。

代理管理者アカウントリソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼されたサービスの代理管理者アカウントに指定できます。 信頼されたサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼されたサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満足します。

代理管理者アカウントの追加または削除する方法の詳細は「Manage a delegated administrator account」をご参照ください。

手順

  1. 管理アカウントとして使用できるアカウントを使用して、リソース管理コンソールにログインします。
  2. リソースディレクトリを有効化します。

    詳細については、「リソースディレクトリの有効化」をご参照ください。

  3. フォルダーを作成して、企業の組織構造を構築します。

    詳細については、「フォルダーの作成」をご参照ください。

  4. リソースディレクトリにメンバーを作成するか、または既存の Alibaba Cloud アカウントをリソースディレクトリに招待します。 次に、ビジネス要件に基づいて、作成したフォルダーにすべてのメンバーを移動します。

    詳細については、「メンバーの作成」、「Invite an Alibaba Cloud account to join a resource directory」、「Move a member」をご参照ください。

制限事項

項目上限調整の可否備考
Alibaba Cloud アカウントを使用して作成できるリソースディレクトリの数1N/Aリソースディレクトリのメンバーを使用してリソースディレクトリを作成することはできません。
リソースディレクトリ内の Root フォルダーの数1N/Aなし。
リソースディレクトリ内のフォルダーの数100クォータの申請Root フォルダーは含まれていません。
フォルダーの階層数5N/ARoot フォルダーは含まれていません。
リソースディレクトリ内のメンバーの数20クォータの申請なし。
1 日あたりの有効な招待の数20クォータの申請承諾された招待は含まれていません。
招待の有効期間14 日間N/Aなし。
セキュリティの観点から携帯電話番号をメンバーにバインドするとき、1 日あたりで送信できる確認コードの数100N/Aなし。
リソースディレクトリに作成可能なカスタムアクセス制御ポリシーの数1,500N/Aなし。
各フォルダーやメンバーに付与可能なカスタムアクセス制御ポリシーの数10クォータの申請なし。
各カスタムアクセス制御ポリシーの最大文字数4,096N/Aなし。