Security Center の複数アカウント管理機能を使用すると、企業内の複数の Alibaba Cloud アカウントのセキュリティ製品を一括購入し、セキュリティ保護設定を構成し、セキュリティリスクに対処できます。また、各メンバーアカウントのセキュリティリスクステータスをリアルタイムで監視することもできます。このトピックでは、複数アカウント管理機能の使用方法について説明します。
複数アカウントのシナリオ
セキュリティ構成とリスク管理の一元化
セキュリティ構成とリスクの一元管理
メンバーアカウントは、独立したデータと構成を維持します。 Security Center の 委任管理者アカウント を使用して、複数のメンバーアカウントのセキュリティ構成を一元管理し、セキュリティリスクに対処し、セキュリティ強化を実施できます。これにより、運用効率が向上し、複数アカウントにわたるセキュリティ運用の管理に伴う課題を解決できます。
アカウントをまたがるログの取り込み、保存、脅威分析
Security Center のクラウド脅威検出および対応(CTDR)機能を使用すると、メンバーアカウントから委任管理者アカウントにデータを取り込み、一元的に保存および分析できます。これにより、アカウントをまたがるセキュリティリスクを特定し、セキュリティイベントをグローバルな視点で把握できます。
統合決済と共有権限付与
委任管理者は、複数の Security Center 機能の権限付与クォータを購入し、追加購入することなく、これらのクォータをメンバーアカウントに割り当てることができます。これにより、企業は Security Center 機能を一括購入できるため、社内経費精算が容易になります。
Security Center インスタンスをすでに購入済みのメンバーアカウントには、クォータを割り当てることはできません。クォータを割り当てるには、メンバーアカウントがサブスクリプションインスタンスをキャンセルし、従量課金インスタンスをシャットダウンする必要があります。
資金信託機能を使用すると、企業内のすべてのメンバーアカウントのクラウド製品の支払いを統合できます。詳細については、「信託の概要」をご参照ください。
アカウントのセキュリティのために、管理アカウントではなく Security Center の委任管理者を使用してクォータを購入してください。
複数アカウントシステムの例
セキュリティ専門家は、セキュリティアカウント(Security Center 委任管理者)を使用して、企業内の本番環境とテスト環境の Alibaba Cloud アカウントを一元管理できます。これにより、リスク検出、リスク処理、セキュリティ強化を統合し、セキュリティ運用効率を向上させることができます。企業で複雑な複数アカウントのシナリオが発生した場合は、チケット を送信してテクニカルサポートを受けることができます。
前提条件
リソースディレクトリに 新しいメンバーを作成した か、既存の Alibaba Cloud ユーザーを招待して参加させた。
ステップ 1: 委任管理者アカウントを追加する
リソースディレクトリの管理アカウントは、メンバーを信頼済みサービスの委任管理者として指定できます。割り当て後、委任管理者は管理アカウントから権限付与を受け、信頼済みサービス内でリソースディレクトリの組織とメンバー情報にアクセスできるようになり、その組織内のビジネス運用を管理できるようになります。
管理アカウントを使用して Resource Management コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼済みサービス] ページで、[Security Center] を見つけ、[アクション] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。
[委任管理者アカウントの追加] パネルで、委任管理者として設定するメンバーを選択し、[OK] をクリックします。
アカウントが正常に追加されると、この委任管理者アカウントを使用して Security Center の複数アカウント管理機能にアクセスし、組織内で管理を実行できます。
説明Security Center の委任管理者アカウントは最大 10 個まで追加できます。
ステップ 2: アカウント管理範囲を構成する
委任管理者を使用して、メンバーアカウントを一元管理できます。委任管理者が管理できるメンバーアカウントの範囲を構成するには、次の手順に従います。
委任管理者は、割り当てられた範囲内のメンバーアカウントのみを表示および管理できます。他の委任管理者によって管理されているメンバーアカウントにはアクセスできません。アカウント管理範囲が管理アカウントによって構成されている場合、その範囲内のメンバーアカウントを表示および管理できるのは管理アカウントのみです。
メンバーアカウントは、一度に 1 人の委任管理者にのみ割り当てることができます。
委任管理者アカウントを使用して、Security Center コンソール にログインします。 上部のナビゲーションバーで、資産が配置されているリージョン(中国 または 全世界 (中国を除く))を選択します。
左側のナビゲーションウィンドウで、 を選択します。
(初めて使用するユーザーの場合) [複数アカウント管理] ページで、Security Center 管理の有効化 をクリックします。
[構成] タブの [監視対象アカウントの合計] セクションで、[アカウント管理] をクリックします。
[複数アカウント管理設定] パネルで、現在のアカウントで管理するメンバーアカウントを選択します。
(オプション) [新規アカウントの自動管理] を有効にして、新規アカウントの管理ポリシーを設定します。
このオプションを有効にした後、[ポリシーの構成] をクリックし、ターゲットのリソースディレクトリノードを選択して、[OK] をクリックします。選択したリソースディレクトリノードに追加された新しいアカウントは、管理リストに自動的に追加されます。
[OK] をクリックします。
[構成] タブで、管理範囲内のメンバーアカウントを表示できます。
ステップ 3: (オプション) 権限付与クォータを割り当てる
企業は、委任管理者アカウントを使用して、サブスクリプションで特定の機能のクォータを一括購入し、メンバーアカウントに割り当てることができます。
制限
Security Center サブスクリプションクォータを管理対象のメンバーアカウントに割り当てることができるのは、委任管理者アカウントのみです。メンバーアカウントには、既存の Security Center サブスクリプションインスタンス、またはエージェントレス検出と Serverless セキュリティ以外の有効な従量課金サービスがあってはなりません。割り当て可能な機能は次のとおりです。
機能 | 最小割り当てクォータと増分 | 注記 |
ホストとコンテナのセキュリティ
|
|
説明
|
アンチランサムウェア容量 |
説明 マネージドアンチランサムウェアサービスを購入した後、メンバーアカウントに割り当てられたアンチランサムウェア容量は、デフォルトでマネージドアンチランサムウェア機能を使用します。 | |
マネージドアンチランサムウェア | ||
ログ分析容量 |
| |
コンテナイメージスキャン |
| |
アプリケーション保護 |
| |
クラウドハニーポット |
| |
Web改ざん防止 |
| |
CSPM |
| |
悪意のあるファイル検出用 SDK |
| |
CTDR - ログ追加のトラフィック |
| |
CTDR - ログストレージ容量 |
|
クォータの表示と購入
委任管理者アカウントを使用して、Security Center コンソール にログインします。 上部のナビゲーションバーで、資産が配置されているリージョン(中国 または 全世界 (中国を除く))を選択します。
[概要] ページの [サブスクリプション] セクションで、インスタンスのクォータを表示します。
このセクションには、購入したすべての機能とクォータが表示されます。たとえば、図に示すように、[アンチランサムウェア (GB)] には [132.9/150] と表示されます。ここで、150 は現在の Alibaba Cloud アカウントで購入されたアンチランサムウェア容量クォータの合計 150 GB を示し、132.9 は現在のアカウントによってすでに使用されているアンチランサムウェア容量 (中国と中国以外の両方のリージョンを含む) を示します。
さらにクォータを購入するには、[今すぐ購入] または [アップグレード] をクリックします。
詳細については、「サブスクリプションベースのインスタンスを購入する」および「アップグレードとスペックダウン」をご参照ください。
クォータを割り当てる
委任管理者アカウントを使用して、Security Center コンソール にログインします。 上部のナビゲーションバーで、資産が配置されているリージョン(中国 または 全世界 (中国を除く))を選択します。
[概要] ページの [サブスクリプション] セクションで、[複数アカウント管理] をクリックします。
ページの [構成] タブに移動し、[監視対象アカウントの合計] の下の [クォータ管理] をクリックすることもできます。
[複数アカウントクォータ管理] ページで、[アカウントの追加] をクリックします。
[アカウントの追加] ダイアログボックスで、クォータを割り当てるメンバーアカウントを選択し、[OK] をクリックします。
現在の委任管理者アカウントによって管理されているメンバーアカウントにのみクォータを付与できます。管理されていないメンバーアカウント、または他の委任管理者アカウントによって管理されているメンバーアカウントには権限付与を付与できません。
サブスクリプション Security Center インスタンスを購入しておらず、エージェントレス検出と Serverless 資産保護以外の付加価値機能の従量課金をアクティブ化していないメンバーアカウントのみを選択できます。
[クォータ管理] セクションで、メンバーアカウントにクォータを割り当てます。
[購入済みクォータ] セクションで、現在のアカウントによって購入された機能とクォータを表示します。
[クォータ管理] セクションに表示される最初のアカウントには、現在のアカウントの残りの割り当て可能なクォータが表示されます。この行は編集できず、未割り当てのクォータは現在のアカウントに自動的に割り当てられます。特定の機能のクォータをメンバーアカウントに割り当てる場合、割り当てられたクォータの合計が、その列の最初の行に最初に表示された数を超えてはなりません。メンバーアカウントにクォータを割り当てると、最初の行の数値がそれに応じて減少します。最小クォータと増分については、「制限」をご参照ください。
[保存] をクリックします。
サーバークォータをメンバーアカウントに割り当てると、システムは割り当てられたクォータをランダムにメンバーアカウントのサーバーに自動的にバインドし、すべてのクォータを利用することを目指します。後でメンバーアカウントに追加で割り当てられたクォータは、サーバーに自動的にバインドされません。メンバーアカウントに切り替えて、これらの追加クォータを手動でバインドする必要があります。詳細については、「ホストとコンテナのセキュリティ権限付与を管理する」をご参照ください。
ステップ 4: メンバーアカウントの構成とリスクを管理する
リスクの概要
メンバーアカウントのリスクの概要を表示する
ページの [概要] タブで、管理範囲内のメンバーアカウントの統計(セキュリティスコア、リスクのある資産の数、セキュリティアラート、脆弱性、ベースラインの問題を含む)を表示できます。これにより、重大なセキュリティリスクのあるメンバーアカウントを特定できます。
ページの [構成] タブで、メンバーアカウントのセキュリティリスクに関する統計を表示できます。
メンバーアカウントの詳細なリスク情報を表示する
Security Center コンソールの左上隅で、メンバーアカウントに切り替えます。その後、概要ページでそのアカウントのセキュリティ操作を表示できます。詳細については、「概要 (新バージョン)」をご参照ください。
メンバーアカウントの構成とリスクを管理する
委任管理者アカウントを使用して、Security Center コンソール にログインします。 上部のナビゲーションバーで、資産が配置されているリージョン(中国 または 全世界 (中国を除く))を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[構成] タブで、メンバーアカウントの [アクション] 列の [設定] をクリックします。
[設定] パネルで、メンバーアカウントのエージェント、脆弱性、ベースラインスキャンの設定を構成し、[OK] をクリックします。
エージェント管理: セキュリティ防御機能とアラート設定を構成します。
脆弱性: メンバーアカウントの脆弱性スキャン設定を構成します。パラメーターの説明については、「脆弱性をスキャンする」をご参照ください。
ベースラインチェック: メンバーアカウントのベースラインチェックポリシーを構成します。パラメーターの説明については、「ベースラインチェックポリシーを構成して実行する」をご参照ください。
コンソールの左上隅で、メンバーアカウントに切り替えて、そのメンバーアカウントのコンソールにアクセスします。
メンバーアカウントのコンソールに切り替えると、委任管理者アカウントは、資産インベントリ、リスク検出、セキュリティ強化、リアルタイム保護、およびプロアクティブな検出と対応を実行できます。 Security Center 機能の詳細については、「機能と特徴」をご参照ください。
追加操作
割り当てられたクォータを使用するための手順
Security Center 委任管理者がメンバーアカウントにクォータを割り当てると、それらのアカウントは割り当てられたクォータを利用できます。クォータが不足している場合、メンバーアカウントは管理アカウントに連絡して追加の割り当てをリクエストできます。メンバーアカウントは、Security Center インスタンスを購入、更新、またはアップグレードできません。委任管理者またはメンバーアカウントは、以下の手順を参照して、さまざまな機能のクォータを効果的に使用し、無駄を避けることができます。
ホストとコンテナのクォータを管理する: コンソールの [概要] ページまたは [ホスト] ページで、サーバー保護クォータを表示および管理します。これらには、Ultimate エディション、Enterprise エディション、Advanced エディション、および Anti-virus エディションのサーバークォータが含まれます。
アンチランサムウェア: サーバーまたはデータベースのコアデータファイルをバックアップするための保護ポリシーを作成します。ガイド:
ログ分析: すべてのログタイプはデフォルトで配信されます。手動操作は必要ありません。
重要委任管理者アカウントは、コンソールの左上隅でアカウントを切り替えることによって、メンバーアカウントのログ分析機能を使用することはできません。メンバーアカウントは、ログ分析機能を使用するために自分でコンソールにログインする必要があります。
コンテナイメージスキャン: イメージスキャンを実行した後、対応するクォータを使用してイメージのセキュリティリスクを検出します。
アプリケーション保護: アプリケーションをアプリケーション保護機能に追加する必要があります。
クラウドハニーポット: サーバーにクラウドハニーポットをデプロイすることで攻撃キャプチャを実装します。
Web改ざん防止: Webサイトに不正な情報が挿入されるのを防ぎ、Webサイトの正常な動作を保証するために、サーバーに保護を追加します。
CSPM: クラウドサービス構成リスクチェックポリシー、システムベースラインリスクチェックポリシー、および攻撃パススキャンルールを構成して、クラウドセキュリティ態勢検出を実装します。
悪意のあるファイル検出用 SDK: サーバーで SDK を呼び出してオフラインファイルをチェックするか、Security Center コンソールで OSS に保存されているファイルをチェックすることで、悪意のあるファイルを検出します。
CTDR ログストレージ容量: Security Center ログと標準化ログの配信を有効にします
CTDR - ログ追加のトラフィック: クラウドサービスログを CTDR に追加します
メンバーアカウントを削除する
委任管理者アカウントでログインし、 ページの [構成] タブに移動します。メンバーアカウントの [アクション] 列の [削除] をクリックして削除します。
メンバーアカウントにクォータが割り当てられた後、メンバーアカウントとそのクォータを削除すると、クォータも削除されます。メンバーアカウント下のすべてのアセットは保護を失い、システムはすべてのクォータを自動的に解放し、ログはクリアされます。注意して進めてください。
メンバーアカウントのクォータを削除する
委任管理者アカウントでログインし、[概要] ページに移動します。 [サブスクリプション] セクションで、[複数アカウント管理] をクリックします。 [クォータ管理] セクションで、ポインターをアカウント名の上に移動し、
アイコンをクリックして、確認ダイアログボックスで [OK] をクリックします。
参考資料
CTDR 1.0 を使用していて、Security Center - 脅威分析の委任管理者を介して複数のアカウントを管理している場合は、関連する操作手順について「複数のアカウントを一元管理する」をご参照ください。
権限付与されたメンバーアカウントが Security Center を個別に購入する必要がある場合は、「権限付与されたメンバーアカウントは Security Center をどのように個別に購入できますか?」をご参照ください。