检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP是一种基于组织的访问控制策略。组织
M身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。 更新告警邮箱: 输入审计账号的告警邮箱,该邮箱用于接收RGC预置
K IAM用户组未添加任意IAM用户,视为“不合规”。 强制执行最低权限 中 identity:::group 不涉及 RGC-GR_CONFIG_IAM_USER_ACCESS_MODE IAM用户同时开启控制台访问和API访问,视为“不合规”。 强制执行最低权限 中 identity:::user
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托)对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Regio
查看、修改模板 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入模板管理页,单击目标模板名称。 图1 单击模板名称 进入模板详情页面,可以查看到模板的详细信息。 图2 查看模板详情 如果模板内容需要修改,您可以单击“版本信息”模块中目标模板版本“操作”列的“编辑”。
服务控制策略 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。
连接。 加密传输中的数据 中 dms:::rabbitmqInstance 不涉及 RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK 要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 加密传输中的数据 中 dms:::rocketmqInstance
Zone搭建完成后,可以在总览页面中查看Landing Zone的整体情况,包括“组织单元和账号”、“已启用的控制策略”、“不合规资源”、“已注册组织单元”和“已纳管账号”的情况。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 在总览页面,可以看到Landing Zone中整体情况。
元。组织管理页面所呈现的,即为一个组织。 根组织单元 根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。组织管理页面中的root层级,即为根组织单元。 核心组织单元 在设置Landing Zone时,配置的核心组织单元,将会自动出现在组织结构中。默认的组织单
账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
通过策略目录和策略列表,均可以查看当前RGC控制策略的详细信息。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要查看的策略。 单击策略名称,进入控制策略详情。 表1 控制策略参数说明 参数 描述 名称
您可以在组织管理页面的组织的根下创建OU。OU最深可嵌套至5层。 在Landing Zone中创建的OU,系统将会自动进行注册,无需再手动注册。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击“创建组织单元”。 图1 创建OU 在弹窗中填写组织单元名称,并且选择父组织单元。
强烈推荐:基于华为云治理最佳实践强烈推荐的合规遵从管控策略,大部分企业用户在云上治理多账号环境时大概率会涉及相关场景和服务,建议Landing Zone搭建完成之后,企业用户自主启用。 可选:企业云上治理过程中,部分企业用户可能会涉及相关控制策略,可以根据具体情况灵活选用相关策略。 控制策略场景
账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
单击右下角“启用控制策略”,等待几分钟后,完成启用。 关闭控制策略 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要关闭的策略。 单击策略名称,进入控制策略详情。 在“已启用组织单元”的页签中,找到需要解绑的组织单元。 图6 解绑控制策略 单击“操作”列的“禁用控制策略”。
Zone转移至另一个Landing Zone中,请先将账号从原Landing Zone中取消纳管后,再在当前Landing Zone中执行纳管操作。如果您已在当前Landing Zone中完成账号纳管,请手动将在原Landing Zone中该账号的相关资源包括委托、策略等删除,否则将会出现错误。
场景。 图2 填写基本信息 配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后,系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录,并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息
操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“Landing Zone治理检测”页面。 在Landing Zone治理检测页面,单击“立即检测”。 图1 执行检测 系统开始执行检测,检测结果需要等待一段时间后呈现在界面中。 (可选)获取检测结果后,可以
注册组织单元 在RGC设置Landing Zone前,在组织中创建的OU将不会在Landing Zone中自动注册,需要手动注册。注册成功后,该OU将会被Landing Zone进行监管。 约束与限制 正在注册或者重新注册OU时,OU中的账号不能执行取消纳管、纳管、更新账号的操作。 不能注册或重新注册核心OU。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
