检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"message" : "string" } 状态码 状态码 描述 200 请求成功。 403 请求无权限。 错误码 请参见错误码。 父主题: 组织管理
landing_zone_version String Landing Zone版本。 manage_account_id String 管理纳管账号ID。 account_id String 纳管账号ID。 account_name String 纳管账号名称。 account_type
必选控制策略 必选控制策略由RGC提供,且无法停用。这些控制策略将会自动应用于组织结构上的每个OU。 RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 名称:不允许删除日志桶 实现:SCP 类型:预防性控制策略 功能:防止删除RGC在日志归档账号中创建的OBS桶。
完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查
该功能支持在未开通RGC的情况下执行。 仅支持组织管理账号执行Landing Zone治理检测。 操作步骤 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“Landing Zone治理检测”页面。 在Landing Zone治理检测页面,单击“立即检测”。 图1 执行检测 系统开始执行
约束与限制 使用约束 组织相关的约束限制,请参考约束与限制。 一个组织管理员账号仅允许在一个主区域开通RGC。 支持的区域 当前RGC支持在以下区域搭建Landing Zone: 广州、华东-上海一、华北-北京四
织单元。 启用控制策略 以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入“控制策略管理 > 策略列表”页面,在策略列表中,找到需要启用的策略。 单击“操作”列下的“启用控制策略”。 图1 启用控制策略 选择需要绑定的组织单元。 图2 绑定组织单元 单击右下角“启用控制策略”,等待几分钟后,完成启用。
当前账号需要先开启企业中心服务。 入门流程 图1为RGC服务入门使用流程。 图1 RGC服务入门使用流程 搭建Landing Zone 以企业主账号身份登录的华为云。 单击“”,选择“管理与监管 > 资源治理中心 RGC”。 在服务开通页,单击“立即开通”。 图2 开通RGC 设置RGC的主区域,该区域是Landing
用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。 管理账号 当一个账号启用Organizations服务之后,该账号被称为管理账号。 管理账号一般用于企业云上多账号资源架构的创建管理,以及组织级策略的管理。 成员账号 当启用Organizations服务后,通过Org
策略授权参考 云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service
权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用RGC服务的其他功能。 通过IA
ncy服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。 漂移现象的消息将汇总至消息通知服务(Simple Message Notification,SMN)中。管理账号可以订阅SMN消息通知,
在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 设置“委托名称”为“RGCServiceExecutionAgency”。 图2 委托名称 “委托类型”选择“普通账号”,在“委托的账号”中输入RGC管理账号名。 选择“持续时间”,填写“描述”信息。 单击“完成”。
set up account. 管理账号不能作为核心账号。 请检查账号,管理账号不能作为核心账号。 400 RGC.1079 Manage account or core account can not change organization unit. 管理账户或核心账户不能更改组织单元。
组织与账号:采用合理的组织架构,基于账号实现职责分离,无游离的企业账号。 身份权限:精细化的权限分配与统一的身份管理,消减过度授权风险。 网络规划:公共网络资源集中管理,保障网络安全和高可用。 安全合规:相关数据介质正确加密,主机与数据落地安全保护。 合规审计:完整收集并设置日志的长期留存,保障审计的有效性。
API 组织管理 Landing Zone治理
API概览 类型 子类型 说明 组织管理 注册OU 将组织里的某个OU注册到RGC服务。 查询注册过程信息 查询在RGC服务里注册/取消注册的过程信息。 查询纳管的账号信息 查询组织里某个纳管账号信息。 创建账号 在组织里的某个注册OU下创建账号。 Landing Zone治理 开启控制策略
createAccount 纳管账号 Account enrollAccount 取消纳管账号 Account unEnrollAccount 更新被管理账号 Account updateManagedAccount 创建组织单元 OrganizationUnit createManagedOrganizationalUnit
附录 状态码 错误码 获取账号、IAM用户、项目、用户组、区域、委托的名称和ID
object 本页返回条目数量。 表3 EnabledControl 参数 参数类型 描述 manage_account_id String 管理纳管账号ID。 control_identifier String 控制策略标识。 name String 控制策略名称。 description
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
