搭建并启用Landing Zone

背景说明

通过RGC服务，预计可实现以下功能：

• RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。
• 您需要在RGC中搭建Landing Zone，并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。
• 当您将现有组织单元由RGC纳入治理范围的过程，称为注册组织单元。
• 在搭建Landing Zone后，您可以在RGC中注册现有的组织单元。

前提条件

当前账号需要先开启企业中心服务。

入门流程

图1为RGC服务入门使用流程。

图1 RGC服务入门使用流程

搭建Landing Zone

1. 以企业主账号身份登录的华为云。
2. 单击“”，选择“管理与监管 > 资源治理中心 RGC”。
3. 在服务开通页，单击“立即开通”。
   图2 开通RGC
   

4. 设置RGC的主区域，该区域是Landing Zone部署的默认区域。
   图3 设置主区域
   

5. 单击“下一步”。
6. 在配置组织单元页面，配置核心组织单元。
   • 创建核心组织单元：为了在Landing Zone中构建完善的组织单元结构，RGC将为您预设一个核心组织单元。此组织单元包含两个核心账号，分别是日志归档账号和安全审计账号（也称为审计账号）。

     组织单元名称必须是唯一的，核心组织单元的默认组织单元名称为“Security”。核心组织单元名称不支持在设置Landing Zone后进行修改。

   • 不创建核心组织单元：如果不希望RGC在您的组织中创建组织单元，则选择不创建核心组织单元。
   图4 设置核心组织单元
   

7. 选择是否创建附加组织单元。

   为了帮助设置多账号系统，建议您在搭建Landing Zone时创建附加组织单元，该组织单元可以作为业务账号的容器或分组单元。搭建Landing Zone后，您可以创建更多组织单元。

   • 创建附加组织单元：在设置Landing Zone同时创建附加组织单元。组织单元的名称必须是唯一的，附加组织单元的默认组织单元名称为“Sandbox”。
   • 不创建附加组织单元：设置Landing Zone后组织除预设的核心组织单元外无其他的组织单元，您可以后续自行创建更多组织单元。
   图5 创建附加组织单元
   

8. 单击“下一步”。
9. 在配置核心账号界面，配置管理账号。
   • 开通IAM身份中心：输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员，该IAM身份中心用户拥有管理员权限。
   • 不开通IAM身份中心：如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源，则选择不开通IAM身份中心。
     图6 配置管理账号
     

10. 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。
    • “账号类型”选择“创建新账号”：
      • 账号邮箱：输入日志存档账号的邮箱，日志存档账号邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
      • 账号名称：输入日志存档账号的名称，需要确保日志存档账号名称唯一，不可以与其他账号名称相同。在设置Landing Zone后，无法修改该名称。账号名只能包含数字、英文字母、下划线（_）、中划线（-）且不能以数字开头。只能为6-32个字符。
    • “账号类型”选择“使用现有账号”：

      使用的现有账号需要归属于管理账号所在的组织中，且已对该账号进行设置委托，设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相关的资源，则必须先删除或修改现有的Config资源，Landing Zone搭建才可以将现有的账号纳管至RGC。

      • 账号邮箱：输入日志存档账号的邮箱，日志存档账号邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
      • 账号名称：输入华为云已注册账号的账号名称。
      • 账号ID：需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
    图7 配置日志存档账号
    

11. 配置审计账号。审计账号具有对组织内所有成员账号的访问权限，建议对访问该账号的身份进行强管控。
    • “账号类型”选择“创建新账号”：
      • 告警邮箱：输入审计账号的告警邮箱，该邮箱用于接收RGC预置告警通知，请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
      • 账号名称：需要确保审计账号名称唯一，不可以与其他账号名称相同。在设置Landing Zone后，无法修改该名称。账号名只能包含数字、英文字母、下划线（_）、中划线（-）且不能以数字开头。只能为6-32个字符。
    • “账号类型”选择“使用现有账号”：

      使用的现有账号需要归属于管理账号所在的组织中，且已对该账号进行设置委托，设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相关的资源，则必须先删除或修改现有的Config资源，Landing Zone搭建才可以将现有的账号纳管至RGC。

      • 告警邮箱：输入审计账号的告警邮箱，该邮箱用于接收RGC预置告警通知，请谨慎选择。长度范围为0至64个字符。
      • 账号名称：输入华为云已注册账号的账号名称。
      • 账号ID：需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
    图8 配置审计账号
    

12. 单击“下一步”。
13. 配置是否启用CTS。

    如果您未在搭建Landing Zone页面启用CTS，则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。

    图9 启用CTS
    

14. 配置日志存放的OBS桶。可以选择创建OBS桶或使用现有OBS桶。当选择创建新的日志存档账号时，将默认选择创建OBS桶。日志数据使用SSE-OBS加密模式进行静态加密，由OBS创建和管理密钥。
    • 创建OBS桶：需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中，不支持自定义OBS桶名。
      • 日志汇聚桶数据保留时长：默认设置为1年。最长设置为15年。

        该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照，并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。

      • OBS桶访问日志保留时长：默认设置为10年。最长设置为15年。

        该桶将会存放访问上述日志汇聚桶而产生的日志，并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。

    • 使用现有OBS桶：需要输入日志账号下的OBS桶名称，如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全，建议使用桶策略为私有的OBS桶。
    图10 配置OBS桶日志保留时长
    

15. 确认Landing Zone配置信息，确认无误后，勾选“我已了解RGC服务管理资源和强制执行策略时将使用的权限。同时已了解有关如何使用RGC和华为云资源的基本指导。”。
    可以在统一身份认证控制台中，在左侧导航栏选择“身份策略”，搜索“RGCServiceAgencyPolicy”，查看RGC服务管理资源和强制执行策略时将使用的权限。

    图11 确认配置信息
    

16. 单击“搭建Landing Zone”，完成Landing Zone配置。
    须知：

    您为审计账号配置的告警邮箱将收到来自RGC支持区域的通知订阅确认电子邮件。如果您希望您的审计账号接收合规邮件，则必须在每个区域的每封邮件中单击确认订阅的链接。

相关说明

• 后续需要对现有的组织单元和成员账号进行部署和管理，请参见组织管理概述。
• Landing Zone搭建成功后，系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。
• Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略，详细的桶策略内容可以前往OBS控制台进行查看。
• Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置“对象读权限”，使核心账号拥有查看桶内日志的权限。