检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
模板是一个HCL语法文本描述文件,支持tf、tf.json、zip包文件格式,用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例,通过编写模板即可完成应用设计与资源的规划,实现众多资源的自动化部署或销毁操作,使业务的组织和管理变得轻松。且同一模板可以多次重复使用,提升了工作效率。 RGC的账
RGC中的场景预置模板来快速创建账号。当前RGC提供以下场景的模板供您使用: 网络规划模块 DNS:该模板可进行DNS Endpoint配置、DNS规则配置以及关联VPC。 ER:该模板可直接创建ER及路由配置,并且创建和已有VPC的连接。 VPC:该模板可直接创建VPC和subnet。
RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 启用后,RGC将会在管理账号中创建和管理资源。请勿修改或删除RGC创建的资源,否则可能导致控制策略失效等。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
重新注册OU时,如果OU中存在创建失败和取消纳管失败的账号,则OU将无法重新注册。 不能注册或重新注册核心OU。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“重新注册”。 图1 重新注册OU 确认子账号和OU上控制策
策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该策略影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。 本章节介绍IAM服务策略授权场景中自定义策略和组织服务中SCP使用的元素,这些元素包
Zone的监管,或不再希望注册已注册失败的OU,您可以选择取消注册OU。 约束与限制 无法取消注册核心OU或根OU。 取消注册OU前,请确保OU中无已被注册的子OU和被纳管的账号。如果存在,请先取消注册OU和取消纳管账号。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需
为“不合规”。 管理漏洞 中 cce:::cluster CES 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ALARM_ACTION_ENABLED_CHECK CES告警操作未启用,视为“不合规”。 建立日志记录和监控 中 ces:::alarmRule
漂移检测与修复 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变
通过控制策略治理多账号环境 RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所
OU也将从组织服务控制台中删除。 约束与限制 无法删除未注册OU、核心OU或根OU。 删除OU前,请确保OU中无已被注册的子OU和被纳管的账号。如果存在,请先取消注册OU和取消纳管账号。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需
(可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图5 配置模板
理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Regi
Zone搭建完成后,可以在总览页面中查看Landing Zone的整体情况,包括“组织单元和账号”、“已启用的控制策略”、“不合规资源”、“已注册组织单元”和“已纳管账号”的情况。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 在总览页面,可以看到Landing Zone中整体情况。
、下划线(_)、中划线(-)且不能以数字开头。只能为6-32个字符。 手机号:需要输入审计账号的手机号。 “账号类型”选择“使用现有账号”: 使用的现有账号需要归属于管理账号所在的组织中,且已对该账号进行设置委托,设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相
下划线(_)、中划线(-)且不能以数字开头。只能为6-32个字符。 手机号:需要输入日志存档账号的手机号。 “账号类型”选择“使用现有账号”: 使用的现有账号需要归属于管理账号所在的组织中,且已对该账号进行设置委托,设置委托的详细操作请参阅设置委托。如果现有账号中包含Config
(可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图5 配置模板
图1 注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”,注册OU需要等待一段时间。可以在组织结构中查看OU的注册结果。注册成功后,OU将会受到Landing
Zone转移至另一个Landing Zone中,请先将账号从原Landing Zone中取消纳管后,再在当前Landing Zone中执行纳管操作。如果您已在当前Landing Zone中完成账号纳管,请手动将在原Landing Zone中该账号的相关资源包括委托、策略等删除,否则将会出现错误。
、委托等。在设置新的Landing Zone前,需要手动将这些资源进行删除。 停用后,组织的所有组织单元和账号均不会被删除和移动。 停用后,原Landing Zone搭建过程中系统在IAM身份中心创建的相关资源均不会被删除。 请谨慎使用停用Landing Zone功能,停用当前Landing
单元向下关联组织单元和账号。组织管理页面中的root层级,即为根组织单元。 核心组织单元 在设置Landing Zone时,配置的核心组织单元,将会自动出现在组织结构中。默认的组织单元名称为“Security”。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
