检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
控制策略参考 必选控制策略 强烈建议控制策略 可选控制策略 父主题: 控制策略管理
加密静态数据。 保护数据完整性 保护配置 优化成本 加密传输中的数据 提高可用性 管理漏洞 使用强身份验证 提高韧性 管理机密 为灾难恢复做好准备 为事件响应做好准备 弹性负载均衡 父主题: 控制策略管理
只有已纳管、纳管失败、取消纳管失败状态的账号可以执行取消纳管账号。 取消纳管账号归属的OU不能处于正在操作的状态。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要纳管的账号所在行“操作”列的“取消纳管”。 图1 取消纳管账号 确认弹窗中需要取消纳管账号的信息,单击“确定”。
启用/关闭控制策略 RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 启用后,RGC将会在管理账号中创建和管理资源。请勿修改或删除RGC创建的资源,否则可能导致控制策略失效等。 约束与限制 仅实施类型为
查看控制策略详情 通过策略目录和策略列表,均可以查看当前RGC控制策略的详细信息。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要查看的策略。 单击策略名称,进入控制策略详情。 表1 控制策略参数说明
修改。 删除模板 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入模板管理页,单击需要删除的模板所在行“操作”列的“删除”。 图4 删除模板 确认弹窗中删除模板的信息,输入“DELETE”。 单击“确定”,删除成功。 父主题: 模板管理
更新核心组织单元和账号。 更新管理账号: 开通IAM身份中心:RGC将在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用
通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。 进入Landing Zone设置页,选择“停用”页签。 单击“停用”。停用Landing Zo
用RGC中的场景预置模板来快速创建账号。当前RGC提供的场景预置模板请参见场景预置模板。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入模板管理页,选择“场景预置模板”页签。 单击需要使用的场景化模板名称。 图1 单击场景化模板名称 单击需要使用模板所在行“操作”列下的“激活”。
必选控制策略 必选控制策略由RGC提供,且无法停用。这些控制策略将会自动应用于组织结构上的每个OU。 RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 名称:不允许删除日志桶 实现:SCP 类型:预防性控制策略 功能:防止删除RGC在日志归档账号中创建的OBS桶。
本章节介绍如何执行Landing治理检测,获取各项治理领域的评分。 约束与限制 该功能支持在未开通RGC的情况下执行。 仅支持组织管理账号执行Landing Zone治理检测。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“Landing Zone治理检测”页面。 在Landing
约束与限制 使用约束 组织相关的约束限制,请参考约束与限制。 一个组织管理员账号仅允许在一个主区域开通RGC。 支持的区域 当前RGC支持在以下区域搭建Landing Zone: 广州、华东-上海一、华北-北京四
用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。 管理账号 当一个账号启用Organizations服务之后,该账号被称为管理账号。 管理账号一般用于企业云上多账号资源架构的创建管理,以及组织级策略的管理。 成员账号 当启用Organizations服务后,通过Org
权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用RGC服务的其他功能。 通过IA
解资源治理中心RGC提供的功能。 基础环境自动部署 用户可以通过RGC服务自动部署的符合最佳实践的Landing Zone多账号环境,它有管理账号和两个核心成员账号(审计账号和日志存档账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力等。 账号工厂 用户可以直接在指定组
组织与账号:采用合理的组织架构,基于账号实现职责分离,无游离的企业账号。 身份权限:精细化的权限分配与统一的身份管理,消减过度授权风险。 网络规划:公共网络资源集中管理,保障网络安全和高可用。 安全合规:相关数据介质正确加密,主机与数据落地安全保护。 合规审计:完整收集并设置日志的长期留存,保障审计的有效性。
设置“委托名称”为“RGCServiceExecutionAgency”。 图2 委托名称 “委托类型”选择“普通账号”,在“委托的账号”中输入RGC管理账号名。 选择“持续时间”,填写“描述”信息。 单击“完成”。 在授权的确认弹窗中,单击“立即授权”。 勾选以下三个需要授予委托的权限,分别是:Security
API 组织管理 Landing Zone治理
Zone基础环境(以下简称Landing Zone)上设置控制策略,帮助您更快速便捷地满足云上合规诉求,而且通过RGC看板持续监控云上多账号环境的合规状态,管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账
Zone基础环境(以下简称Landing Zone)上设置控制策略,帮助您更快速便捷地满足云上合规诉求,而且通过RGC看板持续监控云上多账号环境的合规状态,管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
