更新时间:2024-11-22 GMT+08:00
基于可信服务提供组织级能力
操作场景
可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。
本章节以启用Config为可信服务并创建组织合规规则“IAM用户在指定时间内有登录行为”为例,为您展示可信服务功能的具体使用场景。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
|
|
启用Config为可信服务。 |
|
|
在Config服务使用组织级能力创建组织合规规则。 |
准备工作
- 已创建组织,且组织中已加入多个成员账号。具体操作请参见使用Organizations管理多账号。
- 本示例需在Config服务创建组织合规规则,由于仅被资源记录器收集的资源可参与资源评估,因此创建组织合规规则之前您需要开启资源记录器。
- 为账号充值。
Organizations服务为免费服务,使用Organizations服务的相关功能不收取任何费用。
但当您的账号因欠费受限冻结后,将无法在Organizations控制台执行任何写操作,因此您需要确保账号有足够的余额,避免因账号欠费冻结而无法使用Organizations服务的相关功能,如何充值请参见账户充值。
步骤一:启用可信服务
- 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
- 在左侧导航中选择“可信服务”,进入可信服务页面。
- 在可信服务列表中单击Config服务操作列的“启用”。
- 在弹窗中单击“确定”,完成可信服务启用。
步骤二:创建组织合规规则
在组织中启用Config为可信服务后,您将可以在Config服务中使用组织级的相关功能,本步骤以创建Config服务的组织预定义合规规则为例进行说明。
如下步骤仅针对示例中的关键参数进行设置和介绍,其他参数保存默认,更多关于Config服务组织合规规则的详细信息请参见组织合规规则。
- 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。
- 单击页面左上角的
图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。 - 单击左侧的“资源合规”,进入“资源合规”页面。
- 选择“组织规则”页签,单击“添加规则”。
- 进入“基础配置”页面,在预设策略列表中选择“IAM用户在指定时间内有登录行为”,单击“下一步”。
- 进入“规则参数”页面,规则部署目标默认为“组织”无需修改,单击“下一步”。
- 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成预定义组织合规规则的创建。
当组织合规规则部署成功后,会在组织内成员账号的规则列表中显示此组织合规规则,系统将自动在此规则名称前添加“Org-”字段用于标识。
组织内的成员账号只能触发此规则的评估和查看规则评估结果以及详情,该组织合规规则的修改和删除操作只能由创建规则的组织账号进行。
相关信息
本章节仅举例说明可信服务功能如何使用,关于已对接组织的可信服务和设置委托管理员等其他更多内容请参见可信服务管理。
