检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Zone后,可以查看已纳管账号中的基本信息、不合规资源、模板详情、区域,以及使用的外部Config规则。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要查看的账号名称。 图1 查看账号详情 在基本信息中,可以查看账号的状态、组织单元、受监管区域的数量、合规状态、以及已启用的控制策略数量。
_)、中划线(-)且不能以数字开头。只能为6-32个字符。 手机号:需要输入审计账号的手机号。 “账号类型”选择“使用现有账号”: 使用的现有账号需要归属于管理账号所在的组织中,且已对该账号进行设置委托,设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相关的资源,
删除OU前,请确保OU中无已被注册的子OU和被纳管的账号。如果存在,请先取消注册OU和取消纳管账号。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要删除的OU所在行“操作”列的“删除”。 图1 删除OU 确认需要删除的OU信息,输入“DELETE”。
RGC服务不支持在策略中的资源中指定资源进行权限控制。如需允许访问RGC服务,请在策略的Resource元素中使用通配符号*,表示策略将应用到所有资源。 条件(Condition) RGC服务不支持在策略中的条件键中配置服务级的条件键。 RGC可以使用适用于所有服务的全局条件键,请参考全局条件键。
json、zip包文件格式,用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例,通过编写模板即可完成应用设计与资源的规划,实现众多资源的自动化部署或销毁操作,使业务的组织和管理变得轻松。且同一模板可以多次重复使用,提升了工作效率。 RGC的账号工厂功能支持通过模板快速创
必选控制策略由RGC提供,且无法停用。这些控制策略将会自动应用于组织结构上的每个OU。 RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 名称:不允许删除日志桶 实现:SCP 类型:预防性控制策略 功能:防止删除RGC在日志归档账号中创建的OBS桶。 { "Version": "5
最深可嵌套至5层。 在Landing Zone中创建的OU,系统将会自动进行注册,无需再手动注册。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建组织单元”。 图1 创建OU 在弹窗中填写组织单元名称,并且选择父组织单元。 图2 填写组织单元信息
管理账号通常是设置Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 注册组织单元 在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing
预防并检测组织内成员不合规行为 新业务应用的快速部署上线 企业拥有多个业务模块和应用,在部署完Landing Zone多账号环境之后,用户即可搬迁应用上云,用户可以预先定义好新建账号的标准配置,通过RGC服务简单快速创建及配置新建账号,助力应用快速搬迁上线。 图3 新业务应用的快速部署上线
私有CA在指定时间内过期,视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate 不涉及 RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK 私有证书在指定时间内到期,视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate
连接。 加密传输中的数据 中 dms:::rabbitmqInstance 不涉及 RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK 要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 加密传输中的数据 中 dms:::rocketmqInstance
gency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。 漂移现象的消息将汇总至消息通知服务(Simple Message Notification,SMN)中。管理账号可以订阅SMN消息通
如果您希望对账号所属的OU和使用的模板、模板版本进行更改,可以对账号进行更新。 更改账号所属的OU后,新的OU所应用的控制策略可能与原OU的控制策略不同,需要确认新OU所启用的控制策略符合您对账号的要求后再执行该操作。 约束与限制 更新核心账号时,如核心账号无使用的模板和模板版本,则
纳管账号失败 问题描述 用户在将邀请进组织的账号进行纳管操作时,提示纳管失败。 可能原因 邀请进组织的账号未包含相关的委托。 解决方法 以纳管账号的身份登录华为云,进入华为云IAM控制台。 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 设置“委托
计算基础设施的能力。 Landing Zone Landing Zone基础环境简称,指由RGC初始部署的符合最佳实践的多账号环境。 账号 账号是租户间的安全边界,是资源隔离的基本单元。一个账号内的资源只能被授权给该账号下的IAM用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。
Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置: 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。
关闭控制策略 功能介绍 关闭组织下的某个单元的某个控制策略。 URI POST https://{endpoint}/v1/governance/controls/disable 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 identifier 是 String
ion中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控
、用户组、IAM委托)对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。 例如,用户要查询Landing
说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
