检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
zone环境发生了不合规情况,可能会造成意外甚至严重的后果。 当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。 当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。 漂移检测概述 RGC会自动检测是否存在漂移现象
Landing Zone治理检测概述 Landing Zone治理检测简介 Landing Zone治理检测帮助您检测云上多账号环境是否遵从Landing Zone最佳实践,为您优化成本,提高安全性和运营效率提供有效参考。RGC基于内置的最佳实践检测项扫描组织内的资源,提供评估结果以及
Landing Zone治理检测 Landing Zone治理检测概述 执行Landing Zone治理检测
进入“Landing Zone治理检测”页面。 在Landing Zone治理检测页面,单击“立即检测”。 图1 执行检测 系统开始执行检测,检测结果需要等待一段时间后呈现在界面中。 (可选)获取检测结果后,可以单击“下载报告”,并单击“立即购买”购买修复专业服务并查看详细检测报告,进行风险项修复。
创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“
使用CTS审计RGC操作事件 操作场景 资源治理中心支持通过云审计服务对资源治理中心的操作进行记录,以便查询事件列表,用以审计和回溯历史操作。 前提条件 已开通CTS。 支持审计的关键操作列表 表1 云审计服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing Zone前检查
创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“
Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。
2以下的版本,视为“不合规”。 加密传输中的数据 高 cdn:::domain 不涉及 RGC-GR_CONFIG_CDN_USE_MY_CERTIFICATE CDN使用了自有证书,视为“不合规”。 加密传输中的数据 高 cdn:::domain 不涉及 CFW 控制策略名称 功能
级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。 主动性控制策略:
受到监管的资源。 实施建议 建议应用在OU上的程度。分为必选、强烈推荐和可选。 控制策略场景 此控制策略执行后可以达到的预期目标。 控制方式 控制策略的类型。分为预防性控制策略、检测性控制策略。 严重性 如果违反此控制策略所带来的风险程度。 服务 此控制策略适用的云服务。 策略类别
tive、检测性控制策略Detective、预防性控制策略Preventive。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。 regional_preference String 区域选项,取值有两种分别是:区域的regional和全局的global。
RGC-GR_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED 名称:不允许修改日志桶的加密配置 实现:SCP 类型:预防性控制策略 功能:防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid":
tive、检测性控制策略Detective、预防性控制策略Preventive。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。 regional_preference String 区域选项,取值有两种分别是:区域的regional和全局的global。
快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之后,用户即可搬迁应用上云,用户可以预先定义好新建账号的标准配置,通过RGC服务简单快速创建及配置新建账号,助力应用快速搬迁上线。
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。
用户可以直接在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 账号自定义部署 提供灵活的账号自定义框架,创建新的成员账号之时或者直接选中已创建的成员账号,选用自定义IaC模板实现账号内部配置的自定义部署。
无法注册根和核心组织单元。 请检查注册的组织单元是否已存在并检查类型。 400 RGC.1202 The account already exists, but the account type is not custom. 当前的账号非自定义账号。 请检查纳管的账号的类型。 400 RGC.1203
如果您希望对账号所属的OU和使用的模板、模板版本进行更改,可以对账号进行更新。 更改账号所属的OU后,新的OU所应用的控制策略可能与原OU的控制策略不同,需要确认新OU所启用的控制策略符合您对账号的要求后再执行该操作。 约束与限制 更新核心账号时,如核心账号无使用的模板和模板版本,则