检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VPC:该模板可直接创建VPC和subnet。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入模板管理页,选择“场景预置模板”页签。 单击需要使用的场景化模板名称。 图1 单击场景化模板名称 单击需要使用模板所在行“操作”列下的“激活”。 图2 激活模板 确认需要启用的模板,单击“确定”。
Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象:
控制策略可以对Landing Zone的环境进行治理。通过控制策略的运作,管理账号可以快速发现Landing Zone中存在的风险,以便及时进行干预、维护,保障Landing Zone各个部分的合规性。 控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截
组织单元和账号的概览。 在“已启用的控制策略”区域,单击数字,可以查看策略的概览。 在“不合规资源”区域,单击账号名称,可以查看不合规资源的详情。 针对不合规资源的情况,管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域,单击OU名称,可以查看OU的详情。
C提供的功能。 基础环境自动部署 用户可以通过RGC服务自动部署的符合最佳实践的Landing Zone多账号环境,它有管理账号和两个核心成员账号(审计账号和日志账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力等。 账号工厂 用户可以直接在指定组织单元下创建新的成员账
取消注册组织单元 当您希望注册成功的OU不再受到Landing Zone的监管,或不再希望注册已注册失败的OU,您可以选择取消注册OU。 约束与限制 无法取消注册核心OU或根OU。 取消注册OU前,请确保OU中无已被注册的子OU和被纳管的账号。如果存在,请先取消注册OU和取消纳管账号。 操作步骤
描述 名称 控制策略的名称。 资源 受到监管的资源。 实施建议 建议应用在OU上的程度。分为必选、强烈推荐和可选。 控制策略场景 此控制策略执行后可以达到的预期目标。 控制方式 控制策略的类型。分为预防性控制策略、检测性控制策略。 严重性 如果违反此控制策略所带来的风险程度。 服务 此控制策略适用的云服务。
删除OU前,请确保OU中无已被注册的子OU和被纳管的账号。如果存在,请先取消注册OU和取消纳管账号。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要删除的OU所在行“操作”列的“删除”。 图1 删除OU 确认需要删除的OU信息,输入“DELETE”。
RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 启用后,RGC将会在管理账号中创建和管理资源。请勿修改或删除RGC创建的资源,否则可能导致控制策略失效等。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
Content-Type 资源内容的类型。 类型:String 默认值:无 Connection 指明与服务器的连接是长连接还是短连接。 类型:String 有效值:keep-alive | close。 默认值:无。 Date RGC服务响应的时间。 类型:String 默认值:无
如果您希望对账号所属的组织单元和使用的模板、模板版本进行更改,可以对账号进行更新。 更改账号所属的组织单元后,新的组织单元所应用的控制策略可能与原组织单元的控制策略不同,需要确认新组织单元所启用的控制策略符合您对账号的要求后再执行该操作。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。
进入组织管理页,单击需要注册OU所在行“操作”列的“重新注册”。 图1 重新注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“重新注册”,重
使用CTS审计RGC操作事件 操作场景 资源治理中心支持通过云审计服务对资源治理中心的操作进行记录,以便查询事件列表,用以审计和回溯历史操作。 前提条件 已开通CTS。 支持审计的关键操作列表 表1 云审计服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing Zone前检查
配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织
不能注册或重新注册核心OU。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“注册”。 图1 注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意R
查看已启用控制策略 选择“直系组织单元”页签,将会显示当前OU下的直系OU信息,包括各OU的注册状态、已注册的直系OU以及已纳管的账号。 图5 查看直系OU 选择“直系子账号”页签,将会显示当前OU下的直系子账号信息,包括子账号的名称和纳管状态。 图6 查看直系子账号 父主题: 组织管理
重置IAM身份中心的操作,请参考删除IAM身份中心配置。 用于存放日志的OBS桶。删除OBS桶的操作,请参考删除桶。 RFS中的RGCLoggingResources资源栈集。删除资源栈集的操作,请参考删除资源栈集。 RFS中用户自行创建的模板。 IAM中的委托,包括:RGCA
最深可嵌套至5层。 在Landing Zone中创建的OU,系统将会自动进行注册,无需再手动注册。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建组织单元”。 图1 创建OU 在弹窗中填写组织单元名称,并且选择父组织单元。 图2 填写组织单元信息
无法注册根和核心组织单元。 请检查注册的组织单元是否已存在并检查类型。 400 RGC.1202 The account already exists, but the account type is not custom. 当前的账号非自定义账号。 请检查纳管的账号的类型。 400
管理账号通常是设置Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 注册组织单元 在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
