检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建账号时提示账号名冲突 问题描述 用户RGC在RGC的组织中创建账号时,界面提示账号名冲突。 可能原因 本组织与其他组织中存在相同的账号名称。 解决方法 创建账号时,更换其他的账号名称。
开通IAM身份中心:输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。 管理机密 中 identity:::user 不涉及 RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。
计算基础设施的能力。 Landing Zone Landing Zone基础环境简称,指由RGC初始部署的符合最佳实践的多账号环境。 账号 账号是租户间的安全边界,是资源隔离的基本单元。一个账号内的资源只能被授权给该账号下的IAM用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。
将不在RGC的治理范围之内。 图3 更新区域设置 更新核心组织单元和账号。 更新管理账号: 开通IAM身份中心:RGC将在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。 不开通I
AK/SK签名认证方式仅支持消息体大小12M以内,12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
开通IAM身份中心:输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。 “项目”列的内容即为所属区域对应的ID。
plate:get 授予获取纳管账号模板详情的权限。 read - - RGC的API通常对应着一个或多个操作项。表2展示了API与操作项的关系,以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v1/managed-or
对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。 例如,用户要查询Landing
组织与账号:采用合理的组织架构,基于账号实现职责分离,无游离的企业账号。 身份权限:精细化的权限分配与统一的身份管理,消减过度授权风险。 网络规划:公共网络资源集中管理,保障网络安全和高可用。 安全合规:相关数据介质正确加密,主机与数据落地安全保护。 合规审计:完整收集并设置日志的长期留存,保障审计的有效性。
用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时候,PATCH可能会去创建一个新的资源。 在查询控制策略操作状态的URI部分,您可以看到其请求方法为“GET”,则其请求为: GET https://rgc.cn-north-4
可返回一个资源特征与地址的列表用于用户终端(例如:浏览器)选择。 301 Moved Permanently 永久移动,请求的资源已被永久的移动到新的URI,返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。
ES_BY_ID 指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”。 管理漏洞 高 ecs:::instanceV1 否 RGC-GR_CONFIG_APPROVED_IMS_BY_TAG ECS的镜像不在指定tag的IMS的范围内,视为“不合规”。 管理漏洞
纳管账号失败 问题描述 用户在将邀请进组织的账号进行纳管操作时,提示纳管失败。 可能原因 邀请进组织的账号未包含相关的委托。 解决方法 以纳管账号的身份登录华为云,进入华为云IAM控制台。 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 设置“委托
RGC会自动检测是否存在漂移现象。检测漂移将需要RGCServiceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。 漂移现象的消息将汇总至消息通知服务(Simple Message Notifica
等场景。 图2 填写基本信息 配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息
json、zip包文件格式,用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例,通过编写模板即可完成应用设计与资源的规划,实现众多资源的自动化部署或销毁操作,使业务的组织和管理变得轻松。且同一模板可以多次重复使用,提升了工作效率。 RGC的账号工厂功能支持通过模板快速创
控制策略可以对Landing Zone的环境进行治理。通过控制策略的运作,管理账号可以快速发现Landing Zone中存在的风险,以便及时进行干预、维护,保障Landing Zone各个部分的合规性。 控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
