更新时间:2024-05-24 GMT+08:00

部署Landing Zone

背景说明

通过RGC服务,预计可实现以下功能:

  • RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号
  • 您需要在RGC中搭建Landing Zone,并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。
  • 当您将现有组织单元由RGC纳入治理范围的过程,称为注册组织单元。
  • 在搭建Landing Zone后,您可以在RGC中注册现有的组织单元。

前提条件

当前账号需要先开启企业中心服务。

搭建Landing Zone

  1. 以企业主账号身份登录的华为云。
  2. 单击“”,选择“管理与监管 > 资源治理中心 RGC”。
  3. 在服务开通页,单击“立即开通”。

    图1 开通RGC

  4. 设置RGC的主区域,该区域是Landing Zone部署的默认区域。

    图2 设置主区域

  5. (可选)选择除主区域之外还需要治理的区域,可以选择多个区域。添加后,该区域的资源也将被RGC治理。

    图3 设置其他区域

  6. 单击“下一步”。
  7. 在配置组织单元页面,输入核心组织单元名称。

    为了在Landing Zone中构建完善的组织单元结构,RGC将为您预设一个核心组织单元。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。

    组织单元名称必须是唯一的,不支持在设置Landing Zone后进行修改。

    图4 设置核心组织单元

  8. 选择是否创建附加组织单元。

    为了帮助设置多账号系统,建议您在搭建Landing Zone时创建附加组织单元,该组织单元可以作为业务账号的容器或分组单元。搭建Landing Zone后,您可以创建更多组织单元。

    • 创建附加组织单元:在设置Landing Zone同时创建附加组织单元。组织单元的名称必须是唯一的,附加组织单元的默认组织单元名称为“Sandbox”。
    • 不创建附加组织单元:设置Landing Zone后组织除预设的核心组织单元外无其他的组织单元,您可以后续自行创建更多组织单元。
    图5 创建附加组织单元

  9. 单击“下一步”。
  10. 在配置核心账号界面,配置管理账号。输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。

    图6 配置管理账号

  11. 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。

    • 账号类型:支持创建新账号或使用现有账号。使用的现有账号需要归属于管理账号所在的组织中。
    • 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-30个字符。
    • 账号ID:当选择使用现有账号时,需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。

  12. 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。

    • 账号类型:支持创建新账号或使用现有账号。现有的账号需要归属于管理账号所在的组织中。
    • 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
    • 账号名称:输入审计账号的名称,需要确保审计账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-30个字符。
    • 账号ID:当选择使用现有账号时,需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
      图7 配置审计账号

  13. 单击“下一步”。
  14. 配置是否启用CTS。

    如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。

    图8 启用CTS

  15. 配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。

    • 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。

      该桶将会存放记录Config服务资源记录器的配置快照和CTS记录的操作审计日志,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。

    • OBS桶访问日志保留时长:默认设置为10年。最长设置为15年。

      该桶将会存放访问上述日志汇聚桶而产生的日志,并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。

      图9 配置OBS桶日志保留时长

  16. 确认Landing Zone配置信息,确认无误后,勾选“我已了解RGC服务管理资源和强制执行策略时将使用的权限。同时已了解有关如何使用RGC和华为云资源的基本指导。”。

    图10 确认配置信息

  17. 单击“搭建Landing Zone”,完成Landing Zone配置。

后续步骤

需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述