更新时间:2024-05-24 GMT+08:00
搭建并启用Landing Zone
背景说明
通过RGC服务,预计可实现以下功能:
- RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号
- 您需要在RGC中搭建Landing Zone,并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。
- 当您将现有组织单元由RGC纳入治理范围的过程,称为注册组织单元。
- 在搭建Landing Zone后,您可以在RGC中注册现有的组织单元。
前提条件
当前账号需要先开启企业中心服务。
搭建Landing Zone
- 以企业主账号身份登录的华为云。
- 单击“”,选择“管理与监管 > 资源治理中心 RGC”。
- 在服务开通页,单击“立即开通”。
图1 开通RGC
- 设置RGC的主区域,该区域是Landing Zone部署的默认区域。
图2 设置主区域
- (可选)选择除主区域之外还需要治理的区域,可以选择多个区域。添加后,该区域的资源也将被RGC治理。
图3 设置其他区域
- 单击“下一步”。
- 在配置组织单元页面,输入核心组织单元名称。
为了在Landing Zone中构建完善的组织单元结构,RGC将为您预设一个核心组织单元。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。
组织单元名称必须是唯一的,不支持在设置Landing Zone后进行修改。
图4 设置核心组织单元
- 选择是否创建附加组织单元。
为了帮助设置多账号系统,建议您在搭建Landing Zone时创建附加组织单元,该组织单元可以作为业务账号的容器或分组单元。搭建Landing Zone后,您可以创建更多组织单元。
- 创建附加组织单元:在设置Landing Zone同时创建附加组织单元。组织单元的名称必须是唯一的,附加组织单元的默认组织单元名称为“Sandbox”。
- 不创建附加组织单元:设置Landing Zone后组织除预设的核心组织单元外无其他的组织单元,您可以后续自行创建更多组织单元。
图5 创建附加组织单元
- 单击“下一步”。
- 在配置核心账号界面,配置管理账号。输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。
图6 配置管理账号
- 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。
- 账号类型:支持创建新账号或使用现有账号。使用的现有账号需要归属于管理账号所在的组织中。
- 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-30个字符。
- 账号ID:当选择使用现有账号时,需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
- 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。
- 账号类型:支持创建新账号或使用现有账号。现有的账号需要归属于管理账号所在的组织中。
- 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
- 账号名称:输入审计账号的名称,需要确保审计账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-30个字符。
- 账号ID:当选择使用现有账号时,需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
图7 配置审计账号
- 单击“下一步”。
- 配置是否启用CTS。
如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。
图8 启用CTS
- 配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。
- 确认Landing Zone配置信息,确认无误后,勾选“我已了解RGC服务管理资源和强制执行策略时将使用的权限。同时已了解有关如何使用RGC和华为云资源的基本指导。”。
图10 确认配置信息
- 单击“搭建Landing Zone”,完成Landing Zone配置。
后续步骤
需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述。