检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
identity:::user KMS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_KMS_NOT_SCHEDULED_FOR_DELETION KMS密钥处于“计划删除“状态,视为“不合规”。 保护数据完整性 严重 kms:::key RGC-GR_CONFIG_KMS_ROTATION_ENABLED
建立日志记录和监控 中 ces:::alarmRule CES、KMS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ALARM_KMS_DISABLE_OR_DELETE_KEY CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。 建立日志记录和监控
必选控制策略 必选控制策略由RGC提供,且无法停用。这些控制策略将会自动应用于组织结构上的每个OU。 RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 实现:SCP 类型:Preventive 功能:防止删除RGC在日志归档账号中创建的OBS桶。 {
使用CTS审计RGC操作事件 操作场景 资源治理中心支持通过云审计服务对资源治理中心的操作进行记录,以便查询事件列表,用以审计和回溯历史操作。 前提条件 已开通CTS。 支持审计的关键操作列表 表1 云审计服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing
结构。成员账号可以关联在根组织单元或任一层级的组织单元。 根组织单元 当您开通Organizations云服务并创建组织后,系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。 组织单元 组织单元(Organizational U
进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region)
构造请求 本节介绍REST API请求的组成,并以调用RGC服务的查询控制策略操作状态接口说明如何调用API,该API查询开启控制策略或者关闭控制策略的操作状态。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987
使用现有OBS桶。当选择创建新的日志存档账号时,将默认选择创建OBS桶。日志数据使用SSE-OBS加密模式进行静态加密,由OBS创建和管理密钥。 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶
策略授权参考 云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service
使用现有OBS桶。当选择创建新的日志存档账号时,将默认选择创建OBS桶。日志数据使用SSE-OBS加密模式进行静态加密,由OBS创建和管理密钥。 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。 日志汇聚桶
应用场景 资源治理中心可以帮助您快速搭建和治理云上多账号环境。资源治理中心可以应用于以下场景: 自动部署Landing Zone多账号环境 为保障企业业务安全地,便捷地迁移上云,首先需要在云上提供一个安全、可扩展的多账号环境。通过资源治理中心自动在华为云上部署Landing Zone环境,加速企业上云。
更新Landing Zone 管理员有责任随时更新Landing Zone,以确保Landing Zone可以得到修复和更新。为了避免Landing Zone受到合规问题的影响,管理员需要及时发现提示的漂移现象并立即解决这些问题。通过更新Landing Zone,可以解决某些类型的漂移问题。
漂移检测与修复 漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
