检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在“组织单元和账号”区域,单击数字,可以查看组织单元和账号的概览。 在“已启用的控制策略”区域,单击数字,可以查看策略的概览。 在“不合规资源”区域,单击账号名称,可以查看不合规资源的详情。 针对不合规资源的情况,管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域,单击OU名称,可以查看OU的详情。
修订记录 发布日期 修订记录 2023-12-22 第一次正式发布
查看控制策略详情 通过策略目录和策略列表,均可以查看当前RGC控制策略的详细信息。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要查看的策略。 单击策略名称,进入控制策略详情。 表1 控制策略参数说明
U下已启用的控制策略。 如需了解控制策略详情,请参考查看控制策略详情。 图4 查看已启用控制策略 选择“直系组织单元”页签,将会显示当前OU下的直系OU信息,包括各OU的注册状态、已注册的直系OU以及已纳管的账号。 图5 查看直系OU 选择“直系子账号”页签,将会显示当前OU下的
查看账号详情 在RGC设置Landing Zone后,可以查看已纳管账号中的基本信息、不合规资源、模板详情、区域,以及使用的外部Config规则。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要查看的账号名称。 图1 查看账号详情
查询注册过程信息 功能介绍 查询在RGC服务里注册/取消注册的过程信息。 URI GET https://{hostname}/v1/managed-organization/{operation_id} 表1 路径参数 参数 是否必选 参数类型 描述 operation_id 是
created_at String 组织里某个注册OU下的纳管账号被创建的时间。 updated_at String 组织里某个注册OU下的纳管账号最后一次更新的时间。 表3 regionManagedList 参数 参数类型 描述 region String 区域名字。 region_status
查看、修改或删除模板 模板创建成功后,您可以在RGC控制台模板管理中查看模板信息并修改,您也可以前往资源编排服务控制台中“模板库 > 私有模板”中查看创建成功的模板信息并修改。 当模板数量已达到配额上限,或者您不再需要使用某个模板时,您可以在RGC控制台删除模板。删除后,该模板也将从资源编排服务控制台中删除。
deleteManagedOrganizationalUnits 重新注册组织单元 OrganizationUnit reRegisterOrganizationalUnit 注册组织单元 OrganizationUnit registerOrganizationalUnit 取消注册组织单元 OrganizationUnit
中,不支持自定义OBS桶名。 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的
Zone中自动纳管,需要手动纳管。纳管后,账号将会被Landing Zone进行监管。 约束与限制 如果账号在纳管前已使用配置审计Config服务且存在资源记录器,纳管后系统会将该账号的资源记录器配置进行覆盖,请谨慎操作。 如果您希望将账号通过纳管账号的方式从某个Landing Zone转移至另一个Landing
Zone搭建才可以将现有的账号纳管至RGC。 账号名称:输入华为云已注册账号的账号名称。 账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。 图6 配置日志存档账号 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。
停用Landing Zone时,RGC会执行以下操作: 禁用所有在启用状态的控制策略。 通过删除服务控制策略(SCP)来禁用预防性控制策略。 删除所有系统创建的资源栈集。 删除每个账号工厂账号的记录。 删除标识主区域的内部记录。 操作步骤 以RGC管理员身份登录华为云,进入华为云RGC控制台。
Zone搭建才可以将现有的账号纳管至RGC。 账号名称:输入华为云已注册账号的账号名称。 账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。 图6 配置日志存档账号 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。
列出开启的控制策略 功能介绍 列出组织里开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/enabled-controls 表1 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页页面的最大值。
列出注册OU下开启的控制策略 功能介绍 列出组织里某个注册OU开启的所有控制策略信息。 URI GET https://{hostname}/v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls
控制策略或者关闭控制策略的操作标识ID。 query-string 查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“limit=10”,表示查询不超过10条数据。 例如您需要获取在“华北-北京四”区域的某一开启控
在指定OU上生效之后,该OU所有直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。
NoSQL未开启错误日志,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG GaussDB NoSQL不支持慢查询日志,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance
apig:::instance RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 加密传输中的数据 中 apig:::instance CCE 控制策略名称 功能 场景 严重程度 资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
