-
搭建并启用Landing Zone - 资源治理中心 RGC
创建附加组织单元:在设置Landing Zone同时创建附加组织单元。组织单元的名称必须是唯一的,附加组织单元的默认组织单元名称为“Sandbox”。 不创建附加组织单元:设置Landing Zone后组织除预设的核心组织单元外无其他的组织单元,您可以后续自行创建更多组织单元。 图5 创建附加组织单元
-
什么是资源治理中心 - 资源治理中心 RGC
Zone)上设置控制策略,帮助您更快速便捷地满足云上合规诉求,而且通过RGC看板持续监控云上多账号环境的合规状态,管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC(Infrastructure as Code)模板,快速创建账号,保证账号资源配置一致性的同时,实现新业务应用的快速部署上线。
-
申请公测 - 资源治理中心 RGC
业务描述等申请信息。 勾选“同意《公测试用服务协议》”,单击“申请公测”。 公测申请提交后,5个工作日内审核结果将发送到您的邮箱和手机。
-
创建账号并配置模板 - 资源治理中心 RGC
配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。
-
部署Landing Zone - 资源治理中心 RGC
图6 配置管理账号 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。 账号类型:支持创建新账号或使用现有账号。使用的现有账号需要归属于管理账号所在的组织中。 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing
-
应用场景 - 资源治理中心 RGC
资源治理中心可以帮助您快速搭建和治理云上多账号环境。资源治理中心可以应用于以下场景: 自动部署Landing Zone多账号环境 为保障企业业务安全地,便捷地迁移上云,首先需要在云上提供一个安全、可扩展的多账号环境。通过资源治理中心自动在华为云上部署Landing Zone环境,加速企业上云。 图1
-
创建账号 - 资源治理中心 RGC
配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。
-
概述 - 资源治理中心 RGC
Center,简称RGC)。RGC服务为用户提供搭建安全、可扩展的多账号环境并持续治理的能力,用户可以通过RGC服务创建一个Landing Zone,包含一个管理账号和多个成员账号,同时对这些账号进行各种自动化的护栏配置,帮助客户方便快速安全上云。 您可以使用本文档提供API对R
-
查看Landing Zone信息 - 资源治理中心 RGC
单元和账号的概览。 在“已启用的控制策略”区域,单击数字,可以控制策略的概览。 在“不合规资源”区域,单击账号名称,可以查看不合规资源的详情。 针对不合规资源的情况,管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域,单击OU名称,可以查看OU的详情。 在“
-
控制策略策略概述 - 资源治理中心 RGC
控制策略可以对Landing Zone的环境进行治理。通过控制策略的运作,管理账号可以快速发现Landing Zone中存在的风险,以便及时进行干预、维护,保障Landing Zone各个部分的合规性。 控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截
-
强烈建议控制策略 - 资源治理中心 RGC
严重程度 资源 RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 加密传输中的数据 中 elb:::listener MRS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_C
-
错误码 - 资源治理中心 RGC
无法注册根和基础组织单元。 请检查注册的组织单元是否已存在并检查类型。 400 rgcservice.1202 The account already exists, but the account type is not custom. 当前的账号非自定义账号。 请检查纳管的账号的类型。 400 rgcservice
-
基本概念 - 资源治理中心 RGC
账号是租户间的安全边界,是资源隔离的基本单元。一个账号内的资源只能被授权给该账号下的IAM用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。 管理账号 当一个账号启用Organizations服务之后,该账号被称为管理账号。 管理账号一般用于企业云上多账号资源架构的创建管理,以及组织级策略的管理。
-
构造请求 - 资源治理中心 RGC
说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4
-
查看控制策略详情 - 资源治理中心 RGC
拥有和维护当前控制策略的云服务。 资源 受到监管的资源。 实施建议 建议应用在OU上的程度。分为必选、强烈推荐和可选。 控制策略场景 此控制策略执行后可以达到的预期目标。 控制方式 控制策略的类型。分为预防性控制策略、检测性控制策略。 规范 此控制策略执行的行业标准合规规范。 严重性
-
状态码 - 资源治理中心 RGC
表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部,然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到,但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能,无法完成请求。
-
基本概念 - 资源治理中心 RGC
租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区(AZ,Availability Zone) 一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络
-
返回结果 - 资源治理中心 RGC
错误)的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 响应消息头 对应请求消息头,响应同样也有消息头,如“Content-type”。 详细的公共响应消息头字段请参见表1。 表1 公共响应消息头 消息头名称 描述 Content-Type 资源内容的类型。
-
注册组织单元 - 资源治理中心 RGC
注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”,注册OU需要等待一段时间。可以在组织结构中查看OU的注册结果。注册成功后,OU将会收到Landing
-
纳管账号 - 资源治理中心 RGC
配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图5 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。