正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
功能 场景 严重程度 资源 RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 加密传输中的数据 中 elb:::listener MRS 控制策略名称 功能 场景 严重程度 资源
单击“下一步”。 在配置核心账号界面,配置管理账号。输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 图6 配置管理账号 配置日志存档账号。日志存
创建账号并配置模板 账号创建时,支持选择预置模板或自定义模板,在快速创建账号的基础上,实现可灵活定制的账号内自动配置。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入账号工厂页,单击右上角“创建账号”。 图1 创建账号 配置账号基本信息。输入账号显示名、手机号。不能与其他账号重复。
ding Zone进行监管。 约束与限制 如果账号在纳管前已使用配置审计Config服务且存在资源记录器,纳管后系统会将该账号的资源记录器配置进行覆盖,请谨慎操作。 纳管邀请进组织的账号需要根据前提条件完成相应配置,否则账号将会纳管失败。 前提条件 此步骤仅适用需要纳管邀请进组织
行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模
合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。 图2 预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之后,用户即可搬迁应用上云,用户可以预先定义好新建账号的标准配置,通过RGC
NCRYPTION_CHANGES_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_EN
单击“下一步”。 在配置核心账号界面,配置管理账号。输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 图6 配置管理账号 配置日志存档账号。日志存
实践自动配置账号基线。 控制策略 用户可以灵活选用场景化的合规控制策略包,启用预防性和检测性的控制策略,满足企业合规要求。 预防控制策略 策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截。 检测控制策略 策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户。
创建自定义模板(可选) 管理账号可以直接在资源编排服务(RFS)设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 当前暂不支持在RGC界面中创建自定义模板,请前往资源编排服务进行创建。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RFS控制台。
持续治理的能力,用户可以通过RGC服务创建一个Landing Zone,包含一个管理账号和多个成员账号,同时对这些账号进行各种自动化的护栏配置,帮助客户方便快速安全上云。 您可以使用本文档提供API对RGC进行相关操作,如创建、删除、更新、查询等。支持的全部操作请参见API概览。
检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。 实施类型 必选:这部分策略在开启RGC服务并设置Landing
Landing Zone管理 部署Landing Zone 查看Landing Zone信息
账号工厂 创建自定义模板(可选) 创建账号并配置模板
一系列云服务配置。 基础环境 由RGC初始部署的符合最佳实践的多账号环境,它有管理账号和两个成员账号(审计账号和日志账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力。 账号纳管 未通过RGC创建的账号由RGC接管的过程。账号纳管后,RGC会将最佳实践配置到该账号上。
规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。
et 授予获取着陆区可更新信息的权限。 read - - rgc:landingZoneConfiguration:get 授予获取着陆区配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取着陆区相关用户中心信息的权限。
根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。组织管理页面中的root层级,即为根组织单元。 核心组织单元 在设置Landing Zone时,配置的核心组织单元,将会自动出现在组织结构中。默认的组织单元名称为“Security”。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。
service String 控制策略所属服务。 最小长度:1 最大长度:64 implementation String 服务控制策略(SCP),配置规则。 最小长度:1 最大长度:64 表5 PageInfoDto 参数 参数类型 描述 next_marker String 在标签请求
资源创建或部署失败,请前往RFS查看详情。 请前往RFS查看详情。 400 rgcservice.1092 [RFS]The RFS returns a failure message to deploy stackSet instances. 调用云服务RFS部署stackSet实例返回失败。