云服务器内容精选

  • 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入账号工厂页,单击右上角“创建账号”。 图1 创建账号 配置账号基本信息。输入账号账号名、手机号。不能与其他账号重复。 基本信息中的手机号,仅展示作用,不用于密码找回等场景。 图2 填写基本信息 配置 IAM 身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的 RFS 模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于 资源编排 服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图5 配置模板 单击“创建账号”,创建成功的账号将会显示在列表中。
  • 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建账号”。 图1 创建账号 配置账号基本信息。输入账号账号名、手机号。不能与其他账号重复。 基本信息中的手机号,仅展示作用,不用于密码找回等场景。 图2 填写基本信息 配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图5 配置模板 单击“创建账号”,创建成功的账号将会显示在列表中。
  • 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象: SCP: RGC为各个OU配置的SCP与在Organizations服务中内容不一致,或者SCP在Organizations服务中不存在。 组织结构 RGC监管的OU和账号与Organizations服务里的OU或账号存在不一致。 当存在不一致时,意味着当前Landing zone环境发生了不合规情况,可能会造成意外甚至严重的后果。 当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。 当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。
  • 漂移检测概述 RGC会自动检测是否存在漂移现象。检测漂移将需要RG CS erviceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在 CTS 事件中。 漂移现象的消息将汇总至 消息通知 服务(Simple Message Notification, SMN )中。管理账号可以订阅SMN消息通知,以便在出现漂移现象时,接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下: 组织架构漂移的类型 SCP被更新 SCP被删除 SCP关联至OU SCP关联至账号 SCP从OU解绑 SCP从账号解绑 账号漂移的类型 账号被移动到其他OU 账号被关闭 账号被移出组织 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。 如果RGC检测到发生漂移的资源已得到修复,则仅当相同的资源再次出现漂移时,才会再次发送SMN通知。 例如: 如果您多次修改同一个SCP的策略内容,则仅在首次修改时会收到消息通知。 如果您通过修改SCP后修复了漂移,然后再次对其进行修改再次产生漂移,则您将会收到两条消息通知。
  • 需要立即修复的漂移类型 当出现漂移现象时,您可以通过更新/修复等操作消除漂移,以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的,但您需要在RGC控制台进行操作才可以修复漂移。 大多数类型的漂移可以由管理员解决,但有些类型的漂移则必须立即解决,包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例: 不要删除核心OU:不应在Organizations服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除,则会出现漂移现象。您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。在更新/修复完成之前,您将无法在RGC中执行任何其他操作。 不要删除核心账号:如果您从核心OU中删除核心账号,例如从核心OU中删除日志存档账号,则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone,然后才能继续使用RGC控制台。
  • 请求消息头 附加请求头字段,如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”,请求鉴权信息等。 如下公共消息头需要添加到请求中。 表2 消息头名称 描述 是否必选 Content-Type 消息体的类型(格式),必选,默认取值为“application/json”,有其他取值时会在具体接口中专门说明。 是 Authorization 请求消息中可带的签名信息,必选,AK/SK认证的详细说明请参见:AK/SK认证。 是 Host 表明主机地址,必选。 是 X-Sdk-Date 请求发起端的日期和时间,必选,例如:20221107T020014Z。 是 API支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。AK/SK认证的详细说明请参见:AK/SK认证。 对于查询控制策略操作状态接口,请求如下所示。 GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/c0jquihv-x3ve-1lb9-qmix-dankod8dg86z Content-Type: application/json; charset=UTF-8 X-Sdk-Date: 20240527T021902Z Host: rgc.cn-north-4.myhuaweicloud.com Authorization: SDK-HMAC-SHA256 Access=xxxxxxxxxxxxxxxxxxx, SignedHeaders=content-type;host;x-sdk-date, Signature=xxxxxxxxxxxxxxxxxxxx
  • 请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径,也即API访问路径。从具体API的URI模块获取,例如“查询控制策略操作状态”API的resource-path为“/v1/governance/operation-control-status/{operation_control_status_id}”,其中operation_control_status_id为开启控制策略或者关闭控制策略的操作标识ID。 query-string 查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“limit=10”,表示查询不超过10条数据。 例如您需要获取在“华北-北京四”区域的某一开启控制策略操作状态,则需使用“华北-北京四”区域的Endpoint(rgc.cn-north-4.myhuaweicloud.com),并在查询控制策略操作状态的URI部分找到resource-path(/v1/governance/operation-control-status/{operation_control_status_id}),拼接起来如下所示。 https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}
  • 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时候,PATCH可能会去创建一个新的资源。 在查询控制策略操作状态的URI部分,您可以看到其请求方法为“GET”,则其请求为: GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}
  • 操作(Action) 操作(Action)即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在策略语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值,则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值(-),则表示条件键对整个操作项生效。 如果此列没有值(-),表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - -
  • 背景说明 通过RGC服务,预计可实现以下功能: RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。 您需要在RGC中搭建Landing Zone,并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。 当您将现有组织单元由RGC纳入治理范围的过程,称为注册组织单元。 在搭建Landing Zone后,您可以在RGC中注册现有的组织单元。
  • 相关说明 后续需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述。 Landing Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置“对象读权限”,使核心账号拥有查看桶内日志的权限。
  • 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入Landing Zone设置页,选择“版本”页签。 选择需要更新的版本。 图1 选择版本 当前支持更新当前版本或升级到更新的版本。 单击“更新版本”。 图2 更新Landing Zone 完成Landing Zone更新后,您将无法撤销更新或降级到先前的版本。 更新核心组织单元和账号。 更新管理账号: 开通IAM身份中心:RGC将在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。 更新告警邮箱: 输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。 单击“下一步”。 更新日志配置。 选择是否启用CTS: 如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。 OBS桶访问日志保留时长:默认设置为10年。最长设置为15年。 该桶将会存放访问上述日志汇聚桶而产生的日志,并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。 使用现有OBS桶:需要输入日志账号下的OBS桶名称,如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全,不建议使用的OBS桶策略为公共读。 单击“下一步”。 确认更新的设置信息无误,单击“确定”。RGC将会开始对Landing Zone进行更新。 更新成功后,RGC界面将会出现更新成功的提示。 如果更新失败,RGC不会退回到之前的Landing Zone版本,Landing Zone可能将会处于不确定的状态。如果出现该问题,请提交工单。
  • 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“注册”。 图1 注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”,注册OU需要等待一段时间。可以在组织结构中查看OU的注册结果。注册成功后,OU将会收到Landing Zone的监管。
  • 支持审计的关键操作列表 表1 云审计 服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing Zone前检查 LandingZone checkLaunch 删除Landing Zone LandingZone deleteLandingZone 设置Landing Zone LandingZone setupLandingZone 关闭控件 Control disableControl 开启控件 Control enableControl 创建账号 Account createAccount 纳管账号 Account enrollAccount 取消纳管账号 Account unEnrollAccount 更新被管理账号 Account updateManagedAccount 创建组织单元 OrganizationUnit createManagedOrganizationalUnit 删除组织单元 OrganizationUnit deleteManagedOrganizationalUnits 重新注册组织单元 OrganizationUnit reRegisterOrganizationalUnit 注册组织单元 OrganizationUnit registerOrganizationalUnit 取消注册组织单元 OrganizationUnit deregisterOrganizationalUnit 创建一个模板 Template createTemplate 删除一个模板 Template deleteTemplate
  • 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“重新注册”。 图1 重新注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”,重新注册OU需要等待一段时间。可以在组织结构中查看OU的重新注册结果。重新注册成功后,OU将会收到Landing Zone的监管。