使用CFW跨账号防护EIP资源

应用场景

多个账号的资源防护，例如，企业中不同部门使用不同的账号，但多部门之间需要共用云防火墙的防护策略。

本文介绍如何通过CFW防护多个账号下的EIP资源。

方案介绍

跨账号防护EIP资源的方案为：A账号是组织管理员或委托管理员，将B账号、C账号添加到组织成员，A账号中购买云防火墙，在防火墙中将B账号、C账号添加到组织成员，开启对应EIP的防护及配置防护策略。

图1 跨账号防护

资源和成本规划

如何实现跨账号防护EIP资源

1. 准备账号和权限，本文以A账号是组织管理员为例。
   

   如果A账号不是组织管理员，则由组织管理员将A账号添加为委托管理员，相关操作请参见添加委托管理员。

   1. 使用A账号操作如下。
      1. 购买云防火墙标准版或专业版，请参见购买云防火墙。
      2. （可选）开通企业中心，详情请参见：开通企业中心功能。

         如果已开通企业中心，请跳过此步骤。

      3. （可选）开通组织服务并创建组织。

         如果已开通组织服务，请跳过此步骤。

         

         如果已经加入组织，请退出已加入的组织后再进行创建组织操作，退出组织操作步骤请参见成员账号退出组织。

         1. 登录管理控制台。
         2. 单击左上方的，选择“管理与监督 > 组织 Organizations”。
         3. 开通Organizations云服务。进入开通页，单击“立即开通”。
            图2 开通Organizations云服务
            

            开通Organizations云服务后，系统会自动创建组织和根组织单元，并将开通服务的账号设置为管理账号。

      4. 邀请B账号、C账号加入组织，相关操作请参见邀请账号加入组织。
      5. 设置CFW为可信服务，操作详情请参考启用、禁用可信服务。
   2. 使用B账号、C账号加入A账号的组织，具体操作请参见接受或拒绝来自组织的邀请。

2. 使用A账号在防火墙中添加B账号、C账号。
   1. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
   2. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
   3. 在左侧导航栏中，选择“系统管理 > 多账号管理”，进入“多账号管理”页面。
   4. 单击“添加账号”，弹出页面通过树状展开勾选B账号和C账号，自动添加至右侧“已选账号”，单击“确认”。
      

      • 添加的账号需为同一个组织内的账号，有关组织账号的详细说明请参见《组织账号概述》。
      • 该账号未被其它防火墙防护中。

3. 开启EIP防护。
   1. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。
   2. 搜索B账号、C账号下的EIP：搜索框中选择“所有者”，选择B账号和C账号。
   3. 勾选需要开启防护的弹性公网IP，单击列表上方的“开启防护”。
      

      列表中的“所有者”列展示该EIP归属的账号。

4. 配置防护策略。
   • 配置“防护规则”/“黑白名单”管控流量，详细介绍请参见访问控制策略概述。
   • 配置“攻击防御”检测和防护流量，详细介绍请参见攻击防御功能概述。

5. 查看日志信息，详细介绍请参见防护日志概述。

相关文档

如果您需要跨账号防护VPC资源，请参见使用CFW跨账号防护VPC资源。