检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
制策略Preventive。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。 regional_preference String 区域选项,取值有两种分别是:区域的regional和全局的global。 guidance String 控制策略必须性。
检测到的治理漂移类型如下: 组织架构漂移的类型 SCP被更新 SCP被删除 SCP关联至OU SCP关联至账号 SCP从OU解绑 SCP从账号解绑 账号漂移的类型 账号被移动到其他OU 账号被关闭 账号被移出组织 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。
组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。
plate:get 授予获取纳管账号模板详情的权限。 read - - RGC的API通常对应着一个或多个操作项。表2展示了API与操作项的关系,以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v1/managed-or
创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“
以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要纳管的账号所在行“操作”列的“纳管”。 图4 纳管账号 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图5 选择组织单元 (可选)配置账号工厂的RFS模板。
创建账号 功能介绍 在组织里的某个注册OU下创建账号。 URI POST https://{endpoint}/v1/managed-organization/managed-accounts 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 account_name
强制执行最低权限 低 ecs:::instanceV1 不涉及 RGC-GR_CONFIG_ECS_IN_ALLOWED_SECURITY_GROUPS 指定高危安全组ID列表,未绑定指定标签的ECS关联其中任意安全组,视为“不合规”。 限制网络访问 高 ecs:::instanceV1
用户可以直接在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 账号自定义部署 提供灵活的账号自定义框架,创建新的成员账号之时或者直接选中已创建的成员账号,选用自定义IaC模板实现账号内部配置的自定义部署。
无法注册根和核心组织单元。 请检查注册的组织单元是否已存在并检查类型。 400 RGC.1202 The account already exists, but the account type is not custom. 当前的账号非自定义账号。 请检查纳管的账号的类型。 400 RGC.1203
、用户组、IAM委托)对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。 例如,用户要查询Landing
组织与账号:采用合理的组织架构,基于账号实现职责分离,无游离的企业账号。 身份权限:精细化的权限分配与统一的身份管理,消减过度授权风险。 网络规划:公共网络资源集中管理,保障网络安全和高可用。 安全合规:相关数据介质正确加密,主机与数据落地安全保护。 合规审计:完整收集并设置日志的长期留存,保障审计的有效性。
纳管账号失败 问题描述 用户在将邀请进组织的账号进行纳管操作时,提示纳管失败。 可能原因 邀请进组织的账号未包含相关的委托。 解决方法 以纳管账号的身份登录华为云,进入华为云IAM控制台。 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 设置“委托
多账号环境的合规状态,管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。 计费说明 当前RGC服务暂不收取费用。但根据您的使用情况,消
控制策略可以对Landing Zone的环境进行治理。通过控制策略的运作,管理账号可以快速发现Landing Zone中存在的风险,以便及时进行干预、维护,保障Landing Zone各个部分的合规性。 控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截
日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。 OBS桶访问
关闭控制策略 功能介绍 关闭组织下的某个单元的某个控制策略。 URI POST https://{endpoint}/v1/governance/controls/disable 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 identifier 是 String
而且通过RGC看板持续监控云上多账号环境的合规状态,管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。
注册OU 功能介绍 将组织里的某个OU注册到RGC服务。 URI POST https://{endpoint}/v1/managed-organization/organizational-units/{organizational_unit_id}/register 表1 路径参数
受到监管的资源。 实施建议 建议应用在OU上的程度。分为必选、强烈推荐和可选。 控制策略场景 此控制策略执行后可以达到的预期目标。 控制方式 控制策略的类型。分为预防性控制策略、检测性控制策略。 严重性 如果违反此控制策略所带来的风险程度。 服务 此控制策略适用的云服务。 策略类别
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
