複数の Alibaba Cloud アカウントを管理し、Web Application Firewall (WAF) による保護が必要なリソースを持つ法人のお客様向けに、Resource Management の信頼済みサービス機能を利用することで、一元管理が可能になります。複数のアカウントをリソースディレクトリに統合し (各アカウントはメンバーアカウントとして機能)、特定のメンバーを WAF 管理者として委任することで、すべてのメンバーアカウントにまたがるクラウドリソースへのアクセスを許可できます。これにより、WAF へのオンボーディングとセキュリティ構成の統合管理が実現します。このトピックでは、マルチアカウントによる一元管理を実装する方法について説明します。
制限事項
マルチアカウント管理は、WAF Enterprise Edition および Ultimate Edition でのみ利用できます。
管理アカウントとすべてのメンバーアカウントは、同じリソースディレクトリに属し、同じ検証済みの法人エンティティの下で登録されている必要があります。
管理アカウントが中国本土でアクティブな WAF インスタンスを所有している場合、メンバーアカウントは中国本土で独自の WAF インスタンスを購入することはできません。ただし、中国本土以外のリージョンで WAF インスタンスを購入することは可能です。メンバーアカウントがすでに稼働中の WAF インスタンスを所有している場合は、マルチアカウント管理を設定する前に、そのインスタンスをリリースする必要があります。
メンバーアカウントのクラウドリソースが委任管理者アカウントの WAF インスタンスにオンボーディングされると、保護設定、概要、およびセキュリティレポートは、委任管理者アカウントの WAF コンソールからのみ表示できます。
委任管理者が WAF コンソールでメンバーアカウントを削除すると、そのメンバーのクラウドリソースに対する保護がシステムによって自動的に削除されます。
設定手順
マルチアカウント管理機能を使用する前に、まずリソースディレクトリを有効化し、アカウントをメンバーとして招待する必要があります。次に、メンバーを WAF の委任管理者として指定します。最後に、WAF コンソールでこの機能を使用してメンバーアカウントを追加し、そのクラウドリソースを一元管理できます。
ステップ 1:リソースディレクトリの有効化
マルチアカウント管理機能を使用するには、まず貴社の Alibaba Cloud アカウントをリソースディレクトリに統合する必要があります。リソースディレクトリの詳細については、「リソースディレクトリとは」をご参照ください。
管理アカウントで Resource Management コンソールにログインし、リソースディレクトリを有効化します。 詳細については、「リソースディレクトリの有効化」をご参照ください。
ステップ 2:メンバーアカウントの招待
アカウントがリソースディレクトリへの招待を承諾すると、そのアカウントは一元管理されるメンバーになります。その後、委任管理者アカウントを追加する際に、これらのアカウントから選択できます。
管理アカウントで Resource Management コンソール にログインし、アカウントを招待して組織構造を構築します。詳細な手順については、フォルダの作成 および Alibaba Cloud アカウントをリソースディレクトリに招待 をご参照ください。
招待する既存のアカウントがない場合は、新しいメンバーアカウントを直接作成します。詳細な手順については、「メンバーの作成」をご参照ください。
ステップ 3:委任管理者の割り当て
委任管理者は、組織の管理タスクとサービス固有のタスクを分離します。管理アカウントはリソースディレクトリの組織タスクを実行し、委任管理者アカウントは信頼済みサービスを管理します。このアプローチは、セキュリティのベストプラクティスに沿ったものです。この委任管理者アカウントを使用して WAF のマルチアカウント管理機能にアクセスし、リソースディレクトリ内のすべてのメンバーに対する管理操作を実行します。詳細な手順については、「委任管理者アカウントの管理」をご参照ください。
ステップ 4:メンバーアカウントの追加
Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、マルチアカウント管理 をクリックします。
[マルチアカウント管理] ページで、[メンバーの追加] をクリックします。
[メンバーの追加] ダイアログボックスで、インポートするメンバーアカウントを選択し、右側の [選択済みメンバー] リストに追加します。
右側の[選択済みメンバー]リストで、対象のメンバーアカウントを選択し、[OK]をクリックします。
ステップ 5:メンバーアカウントからのクラウドリソースのオンボーディング
オンボーディング方法は、クラウドリソースの種類によって異なります。
クラウドリソース | オンボーディング方法 |
Application Load Balancer (ALB) | メンバーアカウントの ALB コンソール経由でオンボーディングします。オンボーディング後、WAF コンソールの ALB リスト (クラウドネイティブモード) でインスタンスを表示します。 |
Server Load Balancer (CLB) (HTTP/HTTPS) | リソースは委任管理者に自動的に同期されます。委任管理者の WAF コンソール経由でオンボーディングを完了します。 |
CLB (TCP) | リソースは委任管理者に自動的に同期されます。委任管理者の WAF コンソール経由でオンボーディングを完了します。 |
Elastic Compute Service (ECS) | リソースは委任管理者に自動的に同期されます。委任管理者の WAF コンソール経由でオンボーディングを完了します。 |
Microservices Engine (MSE) | メンバーアカウントの MSE コンソール経由でオンボーディングします。オンボーディング後、WAF コンソールの MSE リスト (クラウドネイティブモード) でインスタンスを表示します。 |
Function Compute (FC) | メンバーアカウントの FC コンソール経由でオンボーディングします。オンボーディング後、WAF コンソールの FC リスト (クラウドネイティブモード) でインスタンスを表示します。 |
Serverless App Engine (SAE) | メンバーアカウントの SAE コンソール経由でオンボーディングします。オンボーディング後、WAF コンソールの SAE リスト (クラウドネイティブモード) でインスタンスを表示します。 |
Network Load Balancer (NLB) | リソースは委任管理者に自動的に同期されます。委任管理者の WAF コンソール経由でオンボーディングを完了します。 |
API Gateway | メンバーアカウントの APIG コンソール経由でオンボーディングします。オンボーディング後、WAF コンソールの API Gateway リスト (クラウドネイティブモード) でインスタンスを表示します。 |