检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看账号详情 在RGC设置Landing Zone后,可以查看已纳管账号中的基本信息、不合规资源、模板详情、区域,以及使用的外部Config规则。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要查看的账号名称。 图1 查看账号详情
查看组织架构详情 在RGC搭建Landing Zone后,可以查看各OU的基本信息、不合规资源、已启用的控制策略、直系的组织单元,以及直系子账号。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要查看OU的名称。 图1 查看OU 在基
在总览页面,可以看到Landing Zone中整体情况。 在“组织单元和账号”区域,单击数字,可以查看组织单元和账号的概览。 在“已启用的控制策略”区域,单击数字,可以查看策略的概览。 在“不合规资源”区域,单击账号名称,可以查看不合规资源的详情。 针对不合规资源的情况,管理账号可以进行资源的调整。 图1
查看控制策略详情 通过策略目录和策略列表,均可以查看当前RGC控制策略的详细信息。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要查看的策略。 单击策略名称,进入控制策略详情。 表1 控制策略参数说明
查看、修改或删除模板 模板创建成功后,您可以在RGC控制台模板管理中查看模板信息并修改,您也可以前往资源编排服务控制台中“模板库 > 私有模板”中查看创建成功的模板信息并修改。 当模板数量已达到配额上限,或者您不再需要使用某个模板时,您可以在RGC控制台删除模板。删除后,该模板也将从资源编排服务控制台中删除。
列出注册OU下开启的控制策略 功能介绍 列出组织里某个注册OU开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls
列出开启的控制策略 功能介绍 列出组织里开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/enabled-controls 表1 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页页面的最大值。
创建一个模板 Template createTemplate 删除一个模板 Template deleteTemplate 查看审计日志 如何查看审计日志,请参考查询审计事件。
获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。
在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。 Landing
在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。 Landing
在指定OU上生效之后,该OU所有直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。
严重程度 资源 RGC-GR_CONFIG_VPC_SG_PORTS_CHECK 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。 限制网络访问 高 networking:::secgroup RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK
控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
Zone,强烈建议您提交工单进行评估后再执行停用操作。 停用Landing Zone时,RGC会执行以下操作: 禁用所有在启用状态的控制策略。 通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RG
漂移检测与修复 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发
API概览 类型 子类型 说明 组织管理 注册OU 将组织里的某个OU注册到RGC服务。 查询注册过程信息 查询在RGC服务里注册/取消注册的过程信息。 查询纳管的账号信息 查询组织里某个纳管账号信息。 创建账号 在组织里的某个注册OU下创建账号。 Landing Zone治理 开启控制策略
创建、删除、更新、查询等。支持的全部操作请参见API概览。 在调用RGC的API之前,请确保已经充分了解RGC相关概念,详细信息请参见资源治理中心产品介绍。 终端节点 终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念
自动部署Landing Zone多账号环境 预防并检测组织内成员不合规行为 企业上云对云上合规治理要求较高,每个企业均会有云上治理红线需要组织内所有成员遵从,资源治理中心提供场景化合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为
略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在策略语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
