检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开启控制策略 功能介绍 给组织下的某个单元开启某个控制策略。 URI POST https://{endpoint}/v1/governance/controls/enable 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 identifier 是 String
列出开启的控制策略 功能介绍 列出组织里开启的所有控制策略信息。 URI GET https://{endpoint}/v1/governance/enabled-controls 表1 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页页面的最大值。
列出注册OU下开启的控制策略 功能介绍 列出组织里某个注册OU开启的所有控制策略信息。 URI GET https://{endpoint}/v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls
策略可以手动启用或关闭。 控制策略不支持绑定至未注册的组织单元、根组织单元和核心组织单元。 启用控制策略 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要启用的策略。 单击“操作”列下的“启用控制策略”。 图1
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的rds资源,视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的rds资源,视为“不合规”。
配置审计账号 单击“下一步”。 配置是否启用CTS。 如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 图10 启用CTS 配置日志存放的OBS桶。可以选
Landing Zone治理 开启控制策略 关闭控制策略 查询控制策略操作状态 列出开启的控制策略 列出注册OU下开启的控制策略 父主题: API
单击右下角“启用控制策略”,等待几分钟后,完成启用。 批量启用控制策略 单次仅支持批量开启5条控制策略。 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,勾选需要启用的策略。 单击列表上方的“启用控制策略”。 图4 批量启用控制策略 选择需要绑定的组织单元。
构造请求 本节介绍REST API请求的组成,并以调用RGC服务的查询控制策略操作状态接口说明如何调用API,该API查询开启控制策略或者关闭控制策略的操作状态。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987
RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS 未开启存储加密的rds资源,视为“不合规”。 加密静态数据 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_PORT_CHECK RDS实例的端口包含被禁止的端口,视为“不合规”。
配置审计账号 单击“下一步”。 配置是否启用CTS。 如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 图9 启用CTS 配置日志存放的OBS桶。可以选
状态、以及已启用的控制策略数量。 如账号下存在不合规资源,将会展示为“不合规”状态。 图2 查看账号基本信息 选择“不合规资源”页签,将会显示当前账号下存在的不合规资源,以及不合规资源ID、相关的控制策略、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签
查看Landing Zone信息 Landing Zone搭建完成后,可以在总览页面中查看Landing Zone的整体情况,包括“组织单元和账号”、“已启用的控制策略”、“不合规资源”、“已注册组织单元”和“已纳管账号”的情况。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。
前,会检视IaC模板内描述的资源配置,若与策略内预置的合规配置冲突,则会拦截IaC模板进入下一步的编排动作。 实施类型 必选:这部分策略在开启RGC服务并设置Landing Zone后,便在核心OU和核心账号上强制自动生效,而且无法禁用。 强烈推荐:基于华为云治理最佳实践强烈推荐
单击需要使用的场景化模板名称。 图1 单击场景化模板名称 单击需要使用模板所在行“操作”列下的“激活”。 图2 激活模板 确认需要启用的模板,单击“确定”。 图3 确认模板 返回“模板”页签查看,激活成功的模板将会出现在模板列表中。 图4 激活模板成功 父主题: 模板管理
Zone治理 开启控制策略 给组织下的某个单元开启某个控制策略。 关闭控制策略 关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。 列出开启的控制策略 列出组织里开启的所有控制策略信息。
between the control and the specified target does not exist. 组织单元未启用请求的控制策略。 不允许关闭未开启的控制策略。 400 RGC.1060 The Root and core organizational units cannot
授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。
Zone LandingZone setupLandingZone 关闭控制策略 Control DisableGovernancePolicy 开启控制策略 Control EnableGovernancePolicy 创建账号 Account createAccount 纳管账号 Account
以及不合规资源ID、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签,将会显示当前OU下已启用的控制策略。 如需了解控制策略详情,请参考查看控制策略详情。 图4 查看已启用控制策略 选择“直系组织单元”页签,将会显示当前OU下的直系OU信息,包括各OU
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
