使用CFW跨账号防护EIP资源
应用场景
多个账号的资源防护,例如,企业中不同部门使用不同的账号,但多部门之间需要共用云防火墙的防护策略。
本文介绍如何通过CFW防护多个账号下的EIP资源。
方案介绍
跨账号防护EIP资源的方案为:A账号是组织管理员或委托管理员,将B账号、C账号添加到组织成员,A账号中购买云防火墙,在防火墙中将B账号、C账号添加到组织成员,开启对应EIP的防护及配置防护策略。
约束限制
- 不支持跨区域防护EIP资源,如需在其它区域使用,请切换到对应区域购买防火墙,具体操作请参见购买云防火墙。
- 单个防火墙实例支持防护的账号个数如下:
- 包年/包月防火墙:
- 基础版:不支持多账号管理功能
- 标准版:20个
- 专业版:50个
- 按需计费防火墙(专业版):20个
- 包年/包月防火墙:
资源和成本规划
如何实现跨账号防护EIP资源
- 在左侧导航栏中,选择,进入“多账号管理”页面。
- 准备账号和权限,本文以A账号是组织管理员为例。
- 使用A账号操作如下:
- 购买云防火墙标准版或专业版,请参见购买云防火墙。
- (可选)开通企业中心。
企业中心提供了多个华为云账号之间形成企业主子账号关联关系的能力,您可以根据自己的企业结构创建多层组织、新建子账号或关联子账号,并使其从属于您创建的组织,从而对子账号的财务进行管理。
当前账号需开通企业中心并成为企业主账号,详细操作请参见开通企业中心功能。
- (可选)开通组织云服务并创建组织。
组织云服务为企业用户提供多账号关系的管理能力。组织支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。
使用您当前的账号作为管理账号创建组织。详细操作请参见创建组织。
- 邀请B账号、C账号加入组织,相关操作请参见邀请账号加入组织。
- 在组织服务中将云防火墙设置为可信服务。
管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。
详情请参见启用可信服务。
- 使用B账号、C账号加入A账号的组织,具体操作请参见接受或拒绝来自组织的邀请。
- 使用A账号操作如下:
- 使用A账号在防火墙中添加B账号、C账号。
- 开启EIP防护。
- 在左侧导航栏中,选择,进入弹性公网IP管理页面。
- 搜索B账号、C账号下的EIP:搜索框中选择“所有者”,选择B账号和C账号。
如果无法搜索到B账号、C账号下的EIP,需单击页面右上角“资产同步”,将EIP资源信息同步至列表中。
- 勾选需要开启防护的弹性公网IP,单击列表上方的“开启防护”。
列表中的“所有者”列展示该EIP归属的账号。
- 配置防护策略。
- 查看日志信息,详细介绍请参见防护日志概述。
相关文档
如果您需要跨账号防护VPC资源,请参见使用CFW跨账号防护VPC资源。
