检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建组织单元 组织单元是可以理解为成员账号的容器或分组单元,将账号分组到一起,作为一个单元管理,通常可以映射为企业的部门、子公司或者项目族等。OU可以嵌套,您可以在单个OU内创建多个 OU。一个OU只能有一个父OU,一个OU下可以关联多个子OU或者成员账号。 您可以在组织管理页面
列出注册OU下开启的控制策略 功能介绍 列出组织里某个注册OU开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls
列出开启的控制策略 功能介绍 列出组织里开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/enabled-controls 表1 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页页面的最大值。
Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。
Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。
的顶端,组织由根组织单元向下关联组织单元和账号。 组织单元 组织单元(Organizational Unit,OU)是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。
Zone,强烈建议您提交工单进行评估后再执行停用操作。 停用Landing Zone时,RGC会执行以下操作: 禁用所有在启用状态的控制策略。 通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RG
curity”。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。 组织单元 组织单元是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。
漂移检测与修复 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发
在指定OU上生效之后,该OU所有直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。
自动部署Landing Zone多账号环境 预防并检测组织内成员不合规行为 企业上云对云上合规治理要求较高,每个企业均会有云上治理红线需要组织内所有成员遵从,资源治理中心提供场景化合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为
控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
apig:::instance CCE 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS CCE集群资源具有公网IP,视为“不合规”。 限制网络访问 中 cce:::cluster CDN 控制策略名称 功能 场景
略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在策略语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列
a full access agency named OrganizationAccountAccessAgency to its manage account. 邀请作为Landing Zone核心账号的子账号,需要创建该账号到管理账号的委托,委托应该包括子账号所有权限,该权限名
在授权的确认弹窗中,单击“立即授权”。 勾选以下三个需要授予委托的权限,分别是:Security Administrator、FullAccess和Tenant Guest。 图3 需要授予委托的权限 单击“下一步”,选择权限的作用范围。 单击“确定”,委托创建完成。RGC管理账
放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-
认证鉴权 调用接口支持使用AK/SK认证,通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内,12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对
关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。
{resource-path} ? {query-string} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
