云服务器内容精选
-
RGC-GR_FUNCTIONGRAPH_CHANGE_PROHIBITED 实现:SCP 类型:Preventive 功能:不允许更改RGC设置的FunctionGraph函数。 {"Version": "5.0","Statement": [{"Sid": "FUNCTIONGRAPH_CHANGE_PROHIBITED","Effect": "Deny","Action": ["functiongraph:function:createFunction","functiongraph:function:deleteFunction","functiongraph:function:updateFunctionCode","functiongraph:function:updateMaxInstanceConfig","functiongraph:function:createVersion","functiongraph:function:createEvent","functiongraph:function:deleteEvent","functiongraph:function:updateEvent","functiongraph:function:updateReservedInstanceCount","functiongraph:function:updateFunctionConfig"],"Resource": ["functiongraph:*:*:function:rgcservice-managed/RGC-NotificationForwarder"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RG CS erviceExecutionAgency/*"}}}]}
-
RGC-GR_ SMN _CHANGE_PROHIBITED 实现:SCP 类型:Preventive 功能:防止更改RGC设置的SMN通知设置。 {"Version": "5.0","Statement": [{"Sid": "SMN_CHANGE_PROHIBITED","Effect": "Deny","Action": ["smn:topic:update*","smn:topic:delete*"],"Resource": ["*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"},"ForAnyValue:StringMatch": {"g:ResourceTag/rgcservice-managed": ["RGC-SecurityNotifications","RGC-AllConfigNotifications","RGC-AggregateSecurityNotifications"]}}},{"Sid": "SMN_TAG_CHANGE_PROHIBITED","Effect": "Deny","Action": ["smn:tag:create","smn:tag:delete"],"Resource": ["*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"},"ForAnyValue:StringMatch": {"g:TagKeys": "rgcservice-managed"}}}]}
-
RGC-GR_CONFIG_CHANGE_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对Config进行配置更改。 {"Version": "5.0","Statement": [{"Sid": "CONFIG_CHANGE_PROHIBITED","Effect": "Deny","Action": ["rms:trackerConfig:delete","rms:trackerConfig:put"],"Resource": ["*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“重新注册”。 图1 重新注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“重新注册”,重新注册OU需要等待一段时间。可以在组织结构中查看OU的重新注册结果。重新注册成功后,OU将会受到Landing Zone的监管。
-
RGC-GR_CONFIG_ENABLED 实现:SCP 类型:Preventive 功能:在所有可用区域中启用Config。 {"Version": "5.0","Statement": [{"Sid": "CONFIG_CHANGE_PROHIBITED","Effect": "Deny","Action": ["rms:trackerConfig:delete","rms:trackerConfig:put"],"Resource": ["*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
RGC-GR_SMN_SUBSCRIPTION_CHANGE_PROHIBITED 实现:SCP 类型:Preventive 功能:防止更改RGC设置的SMN主题订阅,此订阅用于触发配置规则合规性更改的通知。 {"Version": "5.0","Statement": [{"Sid": "SMN_SUBSCRIPTION_CHANGE_PROHIBITED","Effect": "Deny","Action": ["smn:topic:subscribe","smn:topic:deleteSubscription"],"Resource": ["*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"},"ForAnyValue:StringMatch": {"g:ResourceTag/rgcservice-managed": ["RGC-SecurityNotifications","RGC-AllConfigNotifications","RGC-AggregateSecurityNotifications"]}}}]}
-
操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建账号”。 图1 创建账号 配置账号基本信息。输入账号名、手机号。不能与其他账号重复。 基本信息中的手机号,仅展示作用,不用于密码找回等场景。 图2 填写基本信息 配置 IAM 身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的 RFS 模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于 资源编排 服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图5 配置模板 单击“创建账号”,创建成功的账号将会显示在列表中。
-
RGC-GR_CT_AUDIT_BUCKET_ LOG GING_CONFIGURATION_CHANGES_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对RGC创建的OBS桶进行配置更改。 {"Version": "5.0","Statement": [{"Sid": "AUDIT_BUCKET_LOGGING_CONFIGURATION_CHANGES_PROHIBITED","Effect": "Deny","Action": ["obs:bucket:PutBucketLogging"],"Resource": ["obs:*::bucket:rgcservice-managed-*-logs-*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
RGC-GR_CT_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对RGC创建的OBS桶的策略进行更改。 {"Version": "5.0","Statement": [{"Sid": "AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED","Effect": "Deny","Action": ["obs:bucket:PutBucketPolicy","obs:bucket:DeleteBucketPolicy"],"Resource": ["obs:*::bucket:rgcservice-managed-*-logs-*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 实现:SCP 类型:Preventive 功能:防止删除RGC在日志归档账号中创建的OBS桶。 {"Version": "5.0","Statement": [{"Sid": "AUDIT_BUCKET_DELETION_PROHIBITED","Effect": "Deny","Action": ["obs:bucket:DeleteBucket"],"Resource": ["obs:*::bucket:rgcservice-managed-*-logs-*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
需要立即修复的漂移类型 当出现漂移现象时,您可以通过更新/修复等操作消除漂移,以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的,但您需要在RGC控制台进行操作才可以修复漂移。 大多数类型的漂移可以由管理员解决,但有些类型的漂移则必须立即解决,包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例: 不要删除核心OU:不应在Organizations服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除,则会出现漂移现象。您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。在更新/修复完成之前,您将无法在RGC中执行任何其他操作。 不要删除核心账号:如果您从核心OU中删除核心账号,例如从核心OU中删除日志存档账号,则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone,然后才能继续使用RGC控制台。
-
RGC-GR_CT_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对RGC创建的OBS桶的生命周期配置进行更改。 {"Version": "5.0","Statement": [{"Sid": "AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED","Effect": "Deny","Action": ["obs:bucket:PutLifecycleConfiguration"],"Resource": ["obs:*::bucket:rgcservice-managed-*-logs-*"],"Condition": {"StringNotMatch": {"g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*"}}}]}
-
漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象: SCP: RGC为各个OU配置的SCP与在Organizations服务中内容不一致,或者SCP在Organizations服务中不存在。 组织结构 RGC监管的OU和账号与Organizations服务里的OU或账号存在不一致。 当存在不一致时,意味着当前Landing zone环境发生了不合规情况,可能会造成意外甚至严重的后果。 当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。 当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。
-
漂移检测概述 RGC会自动检测是否存在漂移现象。检测漂移将需要RGCServiceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在 CTS 事件中。 漂移现象的消息将汇总至 消息通知 服务(Simple Message Notification,SMN)中。管理账号可以订阅SMN消息通知,以便在出现漂移现象时,接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下: 组织架构漂移的类型 SCP被更新 SCP被删除 SCP关联至OU SCP关联至账号 SCP从OU解绑 SCP从账号解绑 账号漂移的类型 账号被移动到其他OU 账号被关闭 账号被移出组织 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。 如果RGC检测到发生漂移的资源已得到修复,则仅当相同的资源再次出现漂移时,才会再次发送SMN通知。 例如: 如果您多次修改同一个SCP的策略内容,则仅在首次修改时会收到消息通知。 如果您通过修改SCP后修复了漂移,然后再次对其进行修改再次产生漂移,则您将会收到两条消息通知。
-
模板简介 模板是一个HCL语法文本描述文件,支持tf、tf.json、zip包文件格式,用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例,通过编写模板即可完成应用设计与资源的规划,实现众多资源的自动化部署或销毁操作,使业务的组织和管理变得轻松。且同一模板可以多次重复使用,提升了工作效率。 RGC的账号工厂功能支持通过模板快速创建账号,以满足业务需求。管理账号可以直接在RGC或RFS中设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 更多关于模板的信息,请参阅资源编排服务用户指南。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
