检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 在标签请求参数中使用以获取输出的下一部分。重复此操作,直到响应元素返回null。如果存在,则表示可用的输出比当前响应中包含的输出多。 current_count Integer 本页返回条目数量。 请求示例 列出组织里某个注册OU开启的所有控制策略信息。 GET https
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 在组织中创建的OU需要在RGC中注册后,即可应用控制策略。 在RGC中创建的OU应用控制策略时,预防性控制策略将应用于该OU下所有的成员账号,包含已纳管或未纳管的账号,检测性控制策略仅能应用于已纳管的账号。
注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”,注册OU需要等待一段时间。可以在组织结构中查看OU的注册结果。注册成功后,OU将会收到Landing
控制策略可以对Landing Zone的环境进行治理。通过控制策略的运作,管理账号可以快速发现Landing Zone中存在的风险,以便及时进行干预、维护,保障Landing Zone各个部分的合规性。 控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截
绍。 选择模板:选择在RFS中创建好的模板。 模板版本:选择模板的版本。 配置参数:根据业务需求,修改模板中的参数配置。 图6 配置模板 单击“纳管账号”。可以在组织结构中确认账号的纳管结果。纳管成功后,账号将会受到Landing Zone的监管。 取消纳管账号 如果不再需要对某个账号进行管理,可以对该账号取消纳管。
RGC提供多种控制策略,在RGC中创建的OU将会自动应用必选的控制策略,管理账号可以自行决定是否启用可选或强烈推荐的控制策略。 启用后,RGC将会在管理账号中创建和管理资源。请勿修改或删除RGC创建的资源,否则可能导致控制策略失效等。 约束与限制 仅实施类型为“强烈推荐”和“可选”的控制策略可以手动启用或关闭。
配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。
终端节点 终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 父主题: 使用前必读
单元和账号的概览。 在“已启用的控制策略”区域,单击数字,可以控制策略的概览。 在“不合规资源”区域,单击账号名称,可以查看不合规资源的详情。 针对不合规资源的情况,管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域,单击OU名称,可以查看OU的详情。 在“
必选控制策略由RGC提供,且无法停用。这些控制策略将会自动应用于组织结构上的每个OU。 RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 实现:SCP 类型:Preventive 功能:防止删除RGC在日志归档账号中创建的OBS桶。 { "Version": "5.0",
图6 配置管理账号 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。 账号类型:支持创建新账号或使用现有账号。使用的现有账号需要归属于管理账号所在的组织中。 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing
图6 配置管理账号 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。 账号类型:支持创建新账号或使用现有账号。使用的现有账号需要归属于管理账号所在的组织中。 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing
RGC服务不支持在策略中的资源中指定资源进行权限控制。如需允许访问RGC服务,请在策略的Resource元素中使用通配符号*,表示策略将应用到所有资源。 条件(Condition) RGC服务不支持在策略中的条件键中配置服务级的条件键。 RGC可以使用适用于所有服务的全局条件键,请参考全局条件键。
配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。
管理账号可以直接在资源编排服务(RFS)设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号,新建账号内会基于最佳实践自动配置账号基线。 当前暂不支持在RGC界面中创建自定义模板,请前往资源编排服务进行创建。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RFS控制台。
至5层。 在Landing Zone中创建的OU,系统将会自动进行注册,无需再手动注册。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台,进入组织管理页面。 进入组织管理页,单击“创建组织单元”。 图1 创建OU 在弹窗中填写组织单元名称,并且选择父组织单元。
管理账号通常是设置Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 注册组织单元 在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing
预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之后,用户即可搬迁应用上云,用户可以预先定义好新建账号的标准配置,通过RGC服务简单快速创建及配置新建账号,助力应用快速搬迁上线。 图3 新业务应用的快速部署上线
CCE集群资源具有公网IP,视为“不合规”。 限制网络访问 中 cce:::cluster CSS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED CSS集群未启用https,视为“不合规”。 加密传输中的数据 中 css:::cluster
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
