检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。 当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。 漂移检测概述 RGC会自动检测是否存在漂移现象。检测漂移将需要RGCServiceEx
control_objective String 控制策略目标。 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。
理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。
创建账号 可以在RGC中创建账号,系统将会自动纳管创建成功的账号,无需手动处理。 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建账号”。 图1 创建账号 配置账号基本信息。输入账号名、手机号。不能与其他账号重复。 基本信息中的手机号,仅展示作用,不用于密码找回等场景。
后续需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述。 Landing Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“Allo
huaweicloud.com/,单击“注册”。 根据提示信息完成注册,详细操作请参见“如何注册华为云管理控制台的用户?”。 注册成功后,系统会自动跳转至您的个人信息界面。 参考“实名认证”完成企业账号实名认证。 当前RGC服务暂不收取费用。但您需要根据使用情况为以下服务付费:SMN、OBS等。
自动部署Landing Zone多账号环境 预防并检测组织内成员不合规行为 企业上云对云上合规治理要求较高,每个企业均会有云上治理红线需要组织内所有成员遵从,资源治理中心提供场景化合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为 新业务应用的快速部署上线
后续需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述。 Landing Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“Allo
用户可以直接在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 账号自定义部署 提供灵活的账号自定义框架,创建新的成员账号之时或者直接选中已创建的成员账号,选用自定义IaC模板实现账号内部配置的自定义部署。
RGC-GR_DETECT_CTS_ENABLED_ON_SHARED_ACCOUNTS 实现:Config 类型:Detective 功能:检测Security组织单元下的账号是否启用了CTS。 RGC-GR_CES_CHANGE_PROHIBITED 实现:SCP 类型:Preventive
在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。 控制策略不支持绑定至未注
算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该
以关联多个子OU或者成员账号。 您可以在组织管理页面的组织的根下创建OU。OU最深可嵌套至5层。 在Landing Zone中创建的OU,系统将会自动进行注册,无需再手动注册。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建组织单元”。
control_objective String 控制策略目标。 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。
Zone中分配的所有资源的过程,称为停用Landing Zone。 如果您不需要再使用Landing Zone,则可以停用Landing Zone,系统将会自动清理Landing Zone中所分配的资源。 停用Landing Zone与手动清理Landing Zone中的资源不同,手动清理则无法设置新的Landing
策略授权参考 云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service
Zone中自动纳管,需要手动纳管。纳管后,账号将会被Landing Zone进行监管。 约束与限制 如果账号在纳管前已使用配置审计Config服务且存在资源记录器,纳管后系统会将该账号的资源记录器配置进行覆盖,请谨慎操作。 如果您希望将账号通过纳管账号的方式从某个Landing Zone转移至另一个Landing
建议应用在OU上的程度。分为必选、强烈推荐和可选。 控制策略场景 此控制策略执行后可以达到的预期目标。 控制方式 控制策略的类型。分为预防性控制策略、检测性控制策略。 严重性 如果违反此控制策略所带来的风险程度。 服务 此控制策略适用的云服务。 策略类别 此控制策略的来源类型。分为服务控制策略(SCP)和Config规则。
成员账号为关联在根组织单元或者任一个组织单元下的账号。 注册组织单元 在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing Zone就可以对组织单元进行监管。 纳管账号 在RGC中创建的账号,系统将会自动纳管。在组织中创建的账号需要手动进行纳管,Landing Zone可以对账号进行监管。
直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。 实施类型
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
