多账号管理

操作场景

随着企业上云的广泛应用，越来越多的企业将业务迁移至云端，云端的资源、项目、人员、权限管理变得极其复杂。企业用户对于跨账号的云资源具有集中化管理需求，

安全云脑支持将多个云账号集合到一个账号内，对多个云账号资源进行统一安全管理、安全防护配置及数据运营监控，并实时检测各个成员账号的安全风险状况，实现多账号快捷运营。

本文介绍如何实现多账号管理。

• 创建多账号管理：当期望通过组织管理员或委托管理员账号集中管理多个业务账号场景，可创建多账号管理。
• 查看多账号管理：支持查看运营账号已管理的业务账号信息，包含账号名称、账号类型、账号状态、接入日志数等。
• 解除或批量解除多账号管理：当希望解除一个或多个业务账号的管理时，可执行该操作。

基本概念

• 运营账号：用来管理其他成员账号的主账号，也称为运营账号。一个运营账号可以管理多个业务账号。
• 业务账号：被运营账号（主账号）管理的成员账号，也称子账号。一个业务账号（子账号）仅能被一个运营账号管理。
• 主工作空间：系统默认安全云脑创建的第一个工作空间为主工作空间，且在“工作空间 > 空间管理”页面置顶。也支持用户变更主工作空间。在“工作空间 > 空间管理”页面，单击对应的目标工作空间右侧的设置按钮，在弹出的工作空间详情页面打开“主工作空间”按钮即可完成主工作空间变更设置。

多账号管理使用流程

约束与限制

• 仅安全云脑专业版支持多账号管理功能。
• 多账号管理场景下，业务账号的数据只能接入运营账号的主工作空间。
• 一个业务账号仅能被一个运营账号管理。
• 一个运营账号支持最多纳管10000个业务账号。
• 配置多账号纳管时，仅一个运营账号支持打开“新增账号自动纳管”按钮，不支持多个运营账号同时打开“新增账号自动纳管”按钮。
• 仅组织管理员或委托管理员权限账号可执行“多账号管理”操作。组织管理员是指创建组织的账号，一个组织有且仅有1个组织管理员。委托管理员更多信息请参考委托管理员。
• 多账号管理功能不支持汇聚安全云脑基线检查的数据。

前提条件

• 已创建组织，且已邀请账号加入组织，详细操作请参见创建组织、邀请账号加入组织。
• 已完成按组织服务委托授权，详细操作请参见按组织进行授权。

创建多账号管理

1. 用组织管理员或委托管理员权限账号登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“多账号管理”，进入多账号管理页面。
   图1 多账号管理页面
   

5. 在多账号管理页面，单击“多账号纳管”，右侧弹出多账号纳管配置页面。
6. 在多账号纳管配置页面，勾选需要管理的业务账号（子账号）。其中，多账号纳管配置页面下方的“新增账号自动纳管”按钮可根据需要配置，打开该按钮表示当组织内新增子账号后会自动纳管。配置完成后，单击页面右下角“确定”。
7. 返回多账号管理页面，可查看已纳管的业务账号列表。
8. 多账号管理创建完成后，需要通过运营账号（用于创建多账号管理的组织管理员或委托管理员账号）的主工作空间接入云服务日志。

   在左侧导航栏选择“工作空间 > 空间管理”，进入空间管理页面。在空间管理页面的工作空间列表中，单击首个工作空间右侧的设置按钮，在弹出的工作空间详情页面可查看“主工作空间”按钮，按钮已开启表示当前工作空间是主工作空间。系统默认设置创建的第一个工作空间为主工作空间且在空间管理列表置顶，也支持用户变更主工作空间。

9. 确认了主工作空间后，在“工作空间 > 空间管理”页面，单击主工作空间名称，进入主工作空间管理页面。
10. 在左侧导航栏选择“日志审计 > 云服务接入”，在云服务接入配置页面，单击“一键接入”按钮，右侧弹出“一键接入”配置页面。
    图2 一键接入云服务配置
    

11. 在“一键接入”配置页面，配置需要接入云服务日志的账号、区域、日志类型等。配置完成后，单击页面右下角“确定”。

    表2 一键接入云服务日志参数配置

    参数名称	参数说明
    厂商	接入日志的云服务产品的厂商。
    接入的账号	当一个运营账号管理多个业务账号时，通过运营账号的主工作空间配置云服务日志接入，此处下拉勾选需要接入云服务日志的业务账号。配置不能为空。 所有账号：一键接入所有账号（含运营账号和业务账号）的云服务日志。 指定账号：默认勾选接入本账号（运营账号）的云服务日志，支持用户下拉选择设置需要接入的业务账号日志。
    数据源区域	下拉选择数据源的区域，即运营账号和业务账号日志所在的区域。
    选择接入的日志	在日志列表勾选需要接入的云服务日志类型。
    配置同步	将配置应用到其他区域的主工作空间。 打开此按钮，表示其他区域的主工作空间接入的云服务日志类型与当前主工作空间配置相同。

12. 返回云服务接入页面，可查看已接入云服务日志的产品列表。单击云服务产品所在行操作列的“设置”按钮，在弹出的“设置”页面，可设置该云服务产品接入的具体日志类型，根据需要配置。
    图3 云服务日志接入设置页面
    

    表3 云服务日志接入设置页面参数说明

    参数名称	参数说明
    日志类型	日志的类型。
    日志接入	设置日志接入。按钮打开表示日志接入安全云脑。
    新增账号自动接入	设置组织内新增的账号是否自动接入该日志。
    自动转告警	在“自动转告警”列，单击，开启后，当接入的云服务日志满足告警触发条件时，自动转为告警，并且在“告警管理”页面中进行展示。 支持自动转告警的日志如下： 安全云脑 SecMaster 合规基线日志 企业主机安全 HSS 主机安全告警 企业主机安全 HSS 主机漏洞扫描结果 企业主机安全 HSS 主机安全基线 DDos攻击日志 数据库审计服务告警 云防火墙 攻击事件日志
    生命周期	日志接入后的存储时长。
    已接入账号	已接入日志的账号个数。
    日志状态	日志接入的状态。 成功：所有账号的日志都已经成功接入。 失败：所有账号的日志都接入失败。 接入中：日志接入中。 待接入：日志未接入。 部分失败：部分账号的日志接入失败，部分账号日志接入成功。
    最近活跃时间	最近日志接入时间，即活跃时间。
    操作	单击“编辑”： 可设置该日志类型的生命周期，单位天。生命周期指的是日志接入后的存储时长。 可设置日志接入的账号。 可配置同步：将配置应用到其他区域的主工作空间。

13. 云服务日志接入配置完成后，可通过运营账号的主工作空间进行多账号数据管理，如资产管理、漏洞管理等。以资产管理为例，在运营账号主工作空间资产管理页面可查看汇聚的资产信息，包含运营账号和业务账号的资产信息，可在资产管理页面的资产列表中通过“账号ID”和“账号名称”区分资产所归属的账号。

查看多账号管理

1. 用组织管理员或委托管理员权限账号登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“多账号管理”，进入多账号管理页面。
   图4 多账号管理页面
   

5. 在多账号管理页面，查看运营账号已纳管的业务账号列表。

   表4 多账号管理页面账号列表参数说明

   参数名称	参数说明
   账号名	已纳管的业务账号的账号名称。
   账号类型	业务账号的账号类型。当前多账号管理仅支持纳管组织内的子账号，即组织账号。
   账号状态	账号状态： 已纳管：表示该业务账号已经被运营账号纳管。 纳管中：表示正在创建多账号管理。 纳管失败：创建多账号管理纳管该业务账号，任务执行失败。 删除中：表示解除该业务账号纳管，且正在执行解除操作。 删除失败：表示解除该业务账号纳管，任务执行失败。
   接入区域数	接入运营账号主工作空间的云服务日志源所在的区域数。
   接入日志数	该业务账号接入运营账号主工作空间的日志种类数量。举例说明：16/17表示业务账号有17种日志，其中16种已接入运营账号主工作空间。
   最近一小时接入日志数	最近一小时该业务账号接入运营账号主工作空间的日志种类数量。
   最近日志接入时间	最近的业务账号日志接入运营账号主工作空间的时间。
   账号纳管时间	该账号被运营账号纳管的时间。
   操作	支持解除业务账号的纳管。详细操作请参见解除或批量解除多账号管理。

解除或批量解除多账号管理

1. 用组织管理员或委托管理员权限账号登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“多账号管理”，进入多账号管理页面。
   图5 多账号管理页面
   

5. 在多账号管理页面，单击计划解除管理的账号所在行操作列的“解除”按钮，右侧弹出解除信息确认页面。

   若需要批量解除多个账号的管理，则在多账号管理页面，勾选多个待解除管理的业务账号，单击账号列表上方的“批量解除”按钮，右侧弹出解除信息确认页面。

6. 在解除管理信息确认页面最下方，单击“一键输入”，在框内输入“UNLINK”。单击页面右下角“确定”。完成业务账号解绑，解除多账号管理。解除多账号管理后，运营账号主工作空间接入的业务账号的云服务日志也同步解除日志接入。
7. 操作完成后，返回多账号管理页面，已解除绑定的账号则不会出现在账号列表中，说明操作成功。解除绑定管理后不可恢复，请谨慎操作。解除绑定多账号管理后，若需要重新管理账号，需要重新创建多账号管理纳管该账号。