检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 加密传输中的数据 中 elb:::listener 不涉及 RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。
RGC-GR_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED 名称:不允许修改日志桶的加密配置 实现:SCP 类型:预防性控制策略 功能:防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid":
S 资源名称不满足正则表达式,视为“不合规”。 保护配置 低 * 是 RGC-GR_CONFIG_RESOURCE_IN_ENTERPRISE_PROJECT 指定企业项目ID,属于该企业项目的资源,视为“不合规”。 保护配置 低 * 是 RGC-GR_CONFIG_RESOUR
设置RGC的主区域,该区域是Landing Zone部署的默认区域。 图3 设置主区域 (可选)选择除主区域之外还需要治理的区域,可以选择多个区域。添加后,该区域的资源也将被RGC治理。 图4 设置其他区域 单击“下一步”。 在配置组织单元页面,配置核心组织单元。 创建核心组织单元:为了在Landing
设置RGC的主区域,该区域是Landing Zone部署的默认区域。 图2 设置主区域 (可选)选择除主区域之外还需要治理的区域,可以选择多个区域。添加后,该区域的资源也将被RGC治理。 图3 设置其他区域 单击“下一步”。 在配置组织单元页面,配置核心组织单元。 创建核心组织单元:为了在Landing
上传模板 RGC支持两种方式使用模板:一是使用上传成功的模板文件,二是直接使用预置模板。本章节为您介绍如何将配置好的模板文件上传至RGC中。 约束与限制 上传的模板文件不能超过50KB,解压后不超过1MB,且仅支持zip格式。 模板的文件内容需要满足模板约束与限制。 操作步骤 以
行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模
持续治理的能力,用户可以通过RGC服务创建一个Landing Zone,包含一个管理账号和多个成员账号,同时对这些账号进行各种自动化的护栏配置,帮助客户方便快速安全上云。 您可以使用本文档提供API对RGC进行相关操作,如创建、删除、更新、查询等。支持的全部操作请参见API概览。
检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。 主动性控制策略:主动控制策略基于ResourceFormation
进入组织管理页,单击需要纳管的账号所在行“操作”列的“纳管”。 图4 纳管账号 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图5 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。
一系列云服务配置。 基础环境 由RGC初始部署的符合最佳实践的多账号环境,它有管理账号和两个成员账号(审计账号和日志账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力。 账号纳管 未通过RGC创建的账号由RGC接管的过程。账号纳管后,RGC会将最佳实践配置到该账号上。 模板
单击“下一步”。 更新日志配置。 选择是否启用CTS: 如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶
are:该模板可使用网络账号创建VPC并共享给业务账号。 DNS:该模板可进行DNS Endpoint配置、DNS规则配置以及关联VPC。 ER:该模板可直接创建ER及路由配置,并且创建和已有VPC的连接。 VPC:该模板可直接创建VPC和subnet。 财务治理模块 Creat
行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模
最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 账号自定义部署 提供灵活的账号自定义框架,创建新的成员账号之时或者直接选中已创建的成员账号,选用自定义IaC模板实现账号内部配置的自定义部署。 看板 用
根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。组织管理页面中的root层级,即为根组织单元。 核心组织单元 在设置Landing Zone时,配置的核心组织单元,将会自动出现在组织结构中。默认的组织单元名称为“Security”。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。
进入模板详情页面,可以查看到模板的详细信息。 图2 查看模板详情 如果模板内容需要修改,您可以单击“版本信息”模块中目标模板版本“操作”列的“编辑”。 配置模板的相关语法等详细说明请参阅模板简介。 图3 修改模板 修改模板完成后,单击右上角的“保存模板”。完成模板修改。 删除模板 以RGC管理
快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之后,用户即可搬迁应用上云,用户可以预先定义好新建账号的标准配置,通过RGC服务简单快速创建及配置新建账号,助力应用快速搬迁上线。
规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。 计费说明 当前RGC服务暂不收取费用。但根据您的使用情况,消息通知服务(SMN)或对象存储服务(OBS)可能会产
规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。