检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码,表明客户端尝试创建的资源已经存在,或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码,表明请求的资源已被永久删除。 411 Length Required
Zone基础环境简称,指由RGC初始部署的符合最佳实践的多账号环境。 账号 账号是租户间的安全边界,是资源隔离的基本单元。一个账号内的资源只能被授权给该账号下的IAM用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。 管理账号 当一个账号启用Organizations服务之后,该账号被称为管理账号。
的控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
使用账号工厂创建账号 管理账号可以直接设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。管理账号可以直接使用RGC模板管理中的模板,当前暂不支持在RGC界面中创建模板,请前往资源编排服务控制台进行创建。 账号创建时,支持选
创建账号 在组织里的某个注册OU下创建账号。 Landing Zone治理 开启控制策略 给组织下的某个单元开启某个控制策略。 关闭控制策略 关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。
图3 查看不合规资源 选择“已启用控制策略”页签,将会显示当前OU下已启用的控制策略。 如需了解控制策略详情,请参考查看控制策略详情。 图4 查看已启用控制策略 选择“直系组织单元”页签,将会显示当前OU下的直系OU信息,包括各OU的注册状态、已注册的直系OU以及已纳管的账号。
Landing Zone治理 开启控制策略 关闭控制策略 查询控制策略操作状态 列出开启的控制策略 列出注册OU下开启的控制策略 父主题: API
图1 取消纳管账号 确认弹窗中需要取消纳管账号的信息,单击“确定”。 图2 确认取消纳管账号信息 操作取消纳管成功后,账号将会出现在根OU下,并且状态为“未纳管”。 父主题: 账号管理
织单元,一个组织单元下可以关联多个子组织单元或者成员账号。 管理账号 管理账号通常是设置Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 注册组织单元
RGC的账号工厂功能支持通过模板快速创建账号,以满足业务需求。管理账号可以直接在RGC或RFS中设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 更多关于模板的信息,请参阅资源编排服务用户指南。 约束与限制 关于模板的规格、配额等约束限制,请参阅约束与限制。
节,不影响您使用RGC服务的其他功能。 通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托)对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的
进入模板管理页,选择“场景预置模板”页签。 单击需要使用的场景化模板名称。 图1 单击场景化模板名称 单击需要使用模板所在行“操作”列下的“激活”。 图2 激活模板 确认需要启用的模板,单击“确定”。 图3 确认模板 返回“模板”页签查看,激活成功的模板将会出现在模板列表中。
Zone多账号环境,它有管理账号和两个核心成员账号(审计账号和日志账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力等。 账号工厂 用户可以直接在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。
图6 查看账号受监管的区域 选择“外部Config规则”页签,将会显示该账号除当前Landing Zone开启的Config规则外,账号下的其他Config规则,以及对应规则作用的区域。 图7 查看外部Config规则 父主题: 账号管理
查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。
以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要启用的策略。 单击“操作”列下的“启用控制策略”。 图1 启用控制策略 选择需要绑定的组织单元。 图2 绑定组织单元 单击右下角“启用控制策略”,等待几分钟后,完成启用。
RGC-GR_DETECT_CTS_ENABLED_ON_SHARED_ACCOUNTS 实现:Config 类型:Detective 功能:检测Security组织单元下的账号是否启用了CTS。 RGC-GR_CES_CHANGE_PROHIBITED 实现:SCP 类型:Preventive 功能:防止更改RGC为监控环境而设置的CES配置。
anaged-access-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。 使用现有OBS桶:需要输入日志账号下的OBS桶名称,如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全,不建议使用的OBS桶策略为公共读和公共读写。
anaged-access-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。 使用现有OBS桶:需要输入日志账号下的OBS桶名称,如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全,建议使用桶策略为私有的OBS桶。 图9 配置OBS桶日志保留时长
请检查账号的电话号码。 400 RGC.1115 phone number is required in domestic. 请填写手机号。 请检查核心组织单元下的账号的手机号码是否存在。 400 RGC.1116 get a empty token. 获取Token为空。 请联系技术支持。 500 RGC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
