检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修订记录 发布日期 修订记录 2023-12-22 第一次正式发布
Zone中自动纳管,需要手动纳管。纳管后,账号将会被Landing Zone进行监管。 约束与限制 如果账号在纳管前已使用配置审计Config服务且存在资源记录器,纳管后系统会将该账号的资源记录器配置进行覆盖,请谨慎操作。 如果您希望将账号通过纳管账号的方式从某个Landing Zone转移至另一个Landing
API请求的组成,并以调用RGC服务的查询控制策略操作状态接口说明如何调用API,该API查询开启控制策略或者关闭控制策略的操作状态。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987 。 请求URI 请求URI由如下部分组成。
使用CTS审计RGC操作事件 操作场景 资源治理中心支持通过云审计服务对资源治理中心的操作进行记录,以便查询事件列表,用以审计和回溯历史操作。 前提条件 已开通CTS。 支持审计的关键操作列表 表1 云审计服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing
合规”。 建立日志记录和监控 严重 ces:::alarmRule CES、VPC 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ALARM_VPC_CHANGE CES未配置监控VPC变更的事件监控告警,视为“不合规”。 建立日志记录和监控 高 ces:::alarmRule
AK/SK签名认证方式仅支持消息体大小12M以内,12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
禁用所有在启用状态的控制策略。 通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入Landing Zone设置页,选择“停用”页签。
持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。
Zone搭建完成之后,企业用户自主启用。 可选:企业云上治理过程中,部分企业用户可能会涉及相关控制策略,可以根据具体情况灵活选用相关策略。 控制策略场景 建立日志记录和监控 强制执行最低权限 限制网络访问 加密静态数据。 保护数据完整性 保护配置 优化成本 加密传输中的数据 提高可用性 管理漏洞 使用强身份验证
操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入模板管理页,单击右上角的“上传模板”。 单击“添加文件”,添加已配置好的模板文件。 图1 添加模板文件 输入模板名称,模板名称不能重复。 单击“确定”,完成模板上传。上传成功的模板将会出现在模板列表中。 父主题:
持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。
持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。
utionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。 漂移现象的消息将汇总至消息通知服务(Simple Message Notification,SMN)中。管理账号可以订阅
cts:::tracker RGC-GR_CONFIG_CTS_TRACKER_EXISTS 账号未创建CTS追踪器,视为“不合规”。 建立日志记录和监控 中 cts:::tracker DCS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL
查询纳管账号信息 功能介绍 查询组织里某个纳管账号信息。 URI GET https://{hostname}/v1/managed-organization/managed-accounts/{managed_account_id} 表1 路径参数 参数 是否必选 参数类型 描述
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
