检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
板用于创建按需计费云防火墙。 CreatePostPaidWAF:该模板用于创建按需计费web应用防火墙。 CreatePrePaidCFW:该模板用于创建包年/包月计费云防火墙。 CreatePrePaidWAF:该模板用于创建包年/包月计费web应用防火墙。 网络规划模块 C
EMPTY WAF防护域名未配置防护策略,视为“不合规”。 限制网络访问 中 waf:::cloudInstance 不涉及 RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY WAF防护策略未配置防护规则,视为“不合规”。 限制网络访问 中 waf:::policy
要求任何WAF全局ACL拥有规则。 限制网络访问 中 waf:::ruleGlobalProtectionWhitelist 不涉及 RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK 要求WAF规则组为非空。 限制网络访问 中 waf:::addressGroup
份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。 图6 配置管理账号 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。 “账号类型”选择“创建新账号”: 账号名称:输入日志存档账号的名称,需要确保日志存档账号名
份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。 图7 配置管理账号 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。 “账号类型”选择“创建新账号”: 账号名称:输入日志存档账号的名称,需要确保日志存档账号名
企业上云对云上合规治理要求较高,每个企业均会有云上治理红线需要组织内所有成员遵从,资源治理中心提供场景化合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之
可以指定控制策略生效的资源范围,启用成功后可以仅了解资源范围内的合规情况。如果未填写选填类型的规则参数,则控制策略将对绑定OU下该类型的所有资源生效。 参数的详细介绍请参见控制策略参考中的“规则参数是否必填”一列。 图2 添加规则参数 选择需要绑定的组织单元。 图3 绑定组织单元
多账号环境是一种适用于组织或企业的云上架构模式。它由一个管理账号和若干成员账号组成。 最佳实践 最佳实践是已被证明的能够带来良好结果的架构、流程或方法。在RGC中,是指安全、可扩展的多账号环境及一系列云服务配置。 基础环境 由RGC初始部署的符合最佳实践的多账号环境,它有管理账号和
访问RGC服务,请在策略的Resource元素中使用通配符号*,表示策略将应用到所有资源。 条件(Condition) RGC服务不支持在策略中的条件键中配置服务级的条件键。 RGC可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 权限和授权项
控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
该OU所有直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。
的资源,提供评估结果以及建议修复措施。如果您希望获取华为云专家支持,可以购买修复专业服务,一站式服务为您保障云上卓越架构。 应用场景 企业部署Landing Zone多账号环境之后,由于企业内部人员流动或者经验未有效传承,导致负责云上治理运维的员工不了解云上最佳实践,云上环境逐渐偏离原先优良的Landing
行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模
Zone,强烈建议您提交工单进行评估后再执行停用操作。 停用Landing Zone时,RGC会执行以下操作: 禁用所有在启用状态的控制策略。 通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RG
列出注册OU下开启的控制策略 功能介绍 列出组织里某个注册OU开启的所有控制策略信息。 URI GET https://{endpoint}/v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls
最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 账号自定义部署 提供灵活的账号自定义框架,创建新的成员账号之时或者直接选中已创建的成员账号,选用自定义IaC模板实现账号内部配置的自定义部署。 看板 用
单击“下一步”。 更新日志配置。 选择是否启用CTS: 如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶
行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模
进入组织管理页,单击需要纳管的账号所在行“操作”列的“纳管”。 图4 纳管账号 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图5 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。
漂移检测与修复 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
