多账号防护

权限信息

约束限制

• 仅支持对成员账号的弹性公网IP（EIP）统一管理。
• 不支持跨区域防护EIP资源，如需在其它区域使用，请切换到对应区域购买防火墙，具体操作请参见购买及变更云防火墙。
• 单个防火墙实例支持防护的账号个数如下：
  • 包年/包月防火墙：
    • 标准版：20个
    • 专业版：50个
  • 按需计费防火墙（专业版）：20个

配置示例

通过CFW对组织成员账号进行资产防护需要执行以下操作（以A账号管理B账号下的资产为例）：

1. 如果A账号是组织管理员，则跳过此步骤。如果A账号不是组织管理员，则由组织管理员将A账号添加为委托管理员，相关操作请参见添加委托管理员。
2. 由A账号（组织管理员或委托管理员）邀请B账号加入组织，相关操作请参见邀请账号加入组织。
3. A账号在CFW中将B账号加入“多账号管理”页面的列表中，请参见5。

有关组织的详细说明请参见《组织用户指南》。

为了请求B账号下的EIP的信息，CFW会自动在A账号和B账号中创建服务关联委托：

• 该委托是云服务委托，委托权限为“CFWServiceLinkedAgencyPolicy”，“委托名称”为“ServiceLinkedAgencyForCloudFirewall”，授权范围为“所有资源”。
• 删除B账号时，CFW会自动删除B账号内的服务关联委托。
• 退订云防火墙服务时，CFW会自动删除A账号和所有成员账号内的服务关联委托。

添加组织成员账号

图1 多账号防护配置流程

1. （可选）开通企业中心，详情请参见：开通企业中心功能。

   如果已开通企业中心，请跳过此步骤。

2. （可选）开通组织服务并创建组织。

   如果已开通组织服务，请跳过此步骤。

   如果已经加入组织，请退出已加入的组织后再进行创建组织操作，退出组织操作步骤请参见成员账号退出组织。

   1. 登录Organizations控制台。
   2. 开通Organizations云服务。进入开通页，单击“立即开通”。
      图2 开通Organizations云服务
      

      开通Organizations云服务后，系统会自动创建组织和根组织单元，并将开通服务的账号设置为管理账号。

      

      组织开启后，管理账号一旦生成，无法转移给任何其他华为云账号/华为账号。

3. 设置CFW为可信服务，操作详情请参考启用、禁用可信服务。
4. 当前操作的账号为组织管理账号或委托管理员账号，添加委托管理员请参见添加委托管理员。
5. 添加组织成员账号。
   1. 登录CFW控制台。
   2. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
   3. 在左侧导航栏中，选择“系统管理 > 多账号管理”，进入“多账号管理”页面。
   4. 单击“添加账号”，弹出页面通过树状展开勾选目标账号，自动添加至右侧“已选账号”。

      添加的账号需为同一个组织内的账号，有关组织账号的详细说明请参见《组织账号概述》。

      图3 添加组织成员账号
      
   5. 单击“确认”，在账号列表可查看添加的账号。

6. （可选）查看组织成员的EIP资源：
   1. 在左侧导航栏中选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。
   2. 单击右上角“资产同步”，将EIP资源信息同步至列表中。

查看组织成员账号

1. 登录CFW控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“系统管理 > 多账号管理”，进入“多账号管理”页面。
5. 查看全部账号列表信息。账号列表信息参数说明请参见表2。

   表2 账号列表参数说明

   参数名称	参数说明
   账号名	账号名称。
   EIP数	账号下的EIP数量。
   已开启防护数量	当前防火墙防护的EIP数量。
   未开启防护数量	当前防火墙未开启防护的EIP数量。

配置验证

配置成功后，您可以在“资产管理 > 弹性公网IP管理”页面查看其它账号下的EIP，并在“所有者”列查看当前EIP所属的账号信息。

相关文档

• 删除组织成员账号：勾选目标账号，单击列表上方的“删除账号”并在弹出的确认框中单击“确定”。
• 使用CFW跨账号防护EIP资源
• 使用CFW跨账号防护VPC资源