文档首页/ 资源治理中心 RGC/ 快速入门/ 搭建并启用Landing Zone
更新时间:2024-10-26 GMT+08:00
查看PDF
分享

搭建并启用Landing Zone

背景说明

通过RGC服务,预计可实现以下功能:

  • RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。
  • 您需要在RGC中搭建Landing Zone,并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您Organizations服务内现有的其他组织单元和成员账号。
  • 当您将现有组织单元由RGC纳入治理范围的过程,称为注册组织单元。
  • 在搭建Landing Zone后,您可以在RGC中注册现有的组织单元。

前提条件

当前账号需要先开启企业中心服务。

搭建Landing Zone

  1. 以企业主账号身份登录的华为云。
  2. 单击“”,选择“管理与监管 > 资源治理中心 RGC”。
  3. 在服务开通页,单击“立即开通”。

    图1 开通RGC

  4. 设置RGC的主区域,该区域是Landing Zone部署的默认区域。

    图2 设置主区域

  5. 单击“下一步”。
  6. 在配置组织单元页面,配置核心组织单元。

    • 创建核心组织单元:为了在Landing Zone中构建完善的组织单元结构,RGC将为您预设一个核心组织单元。此组织单元包含两个核心账号,分别是日志归档账号和安全审计账号(也称为审计账号)。

      组织单元名称必须是唯一的,核心组织单元的默认组织单元名称为“Security”。核心组织单元名称不支持在设置Landing Zone后进行修改。

    • 不创建核心组织单元:如果不希望RGC在您的组织中创建组织单元,则选择不创建核心组织单元。
    图3 设置核心组织单元

  7. 选择是否创建附加组织单元。

    为了帮助设置多账号系统,建议您在搭建Landing Zone时创建附加组织单元,该组织单元可以作为业务账号的容器或分组单元。搭建Landing Zone后,您可以创建更多组织单元。

    • 创建附加组织单元:在设置Landing Zone同时创建附加组织单元。组织单元的名称必须是唯一的,附加组织单元的默认组织单元名称为“Sandbox”。
    • 不创建附加组织单元:设置Landing Zone后组织除预设的核心组织单元外无其他的组织单元,您可以后续自行创建更多组织单元。
    图4 创建附加组织单元

  8. 单击“下一步”。
  9. 在配置核心账号界面,配置管理账号。

    • 开通IAM身份中心:输入IAM身份中心账号的邮箱地址。管理账号邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。
    • 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
      图5 配置管理账号

  10. 配置日志存档账号。日志存档账号用于存储所有账号的API活动和资源配置的日志。

    • “账号类型”选择“创建新账号”:
      • 账号名称:输入日志存档账号的名称,需要确保日志存档账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-32个字符。
      • 手机号:需要输入日志存档账号的手机号。
    • “账号类型”选择“使用现有账号”:

      使用的现有账号需要归属于管理账号所在的组织中,且已对该账号进行设置委托,设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相关的资源,则必须先删除或修改现有的Config资源,Landing Zone搭建才可以将现有的账号纳管至RGC。

      • 账号名称:输入华为云已注册账号的账号名称。
      • 账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
    图6 配置日志存档账号

  11. 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。

    • “账号类型”选择“创建新账号”:
      • 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
      • 账号名称:需要确保审计账号名称唯一,不可以与其他账号名称相同。在设置Landing Zone后,无法修改该名称。账号名只能包含数字、英文字母、下划线(_)、中划线(-)且不能以数字开头。只能为6-32个字符。
      • 手机号:需要输入日志存档账号的手机号。
    • “账号类型”选择“使用现有账号”:

      使用的现有账号需要归属于管理账号所在的组织中,且已对该账号进行设置委托,设置委托的详细操作请参阅设置委托。如果现有账号中包含Config相关的资源,则必须先删除或修改现有的Config资源,Landing Zone搭建才可以将现有的账号纳管至RGC。

      • 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。长度范围为0至64个字符。
      • 账号名称:输入华为云已注册账号的账号名称。
      • 账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。
    图7 配置审计账号

  12. 单击“下一步”。
  13. 配置是否启用CTS。

    如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。

    图8 启用CTS

  14. 配置日志存放的OBS桶。可以选择创建OBS桶或使用现有OBS桶。当选择创建新的日志存档账号时,将默认选择创建OBS桶。日志数据使用SSE-OBS加密模式进行静态加密,由OBS创建和管理密钥。

    • 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。
      • 日志汇聚桶数据保留时长:默认设置为1年。最长设置为15年。

        该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照,并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。

      • OBS桶访问日志保留时长:默认设置为10年。最长设置为15年。

        该桶将会存放访问上述日志汇聚桶而产生的日志,并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中,{}中表示变量,根据实际情况进行显示。

    • 使用现有OBS桶:需要输入日志账号下的OBS桶名称,如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全,不建议使用的OBS桶策略为公共读和公共读写。
    图9 配置OBS桶日志保留时长

  15. 确认Landing Zone配置信息,确认无误后,勾选“我已了解RGC服务管理资源和强制执行策略时将使用的权限。同时已了解有关如何使用RGC和华为云资源的基本指导。”。

    可以在统一身份认证控制台中,在左侧导航栏选择“身份策略”,搜索“RGCServiceAgencyPolicy”,查看RGC服务管理资源和强制执行策略时将使用的权限。
    图10 确认配置信息

  16. 单击“搭建Landing Zone”,完成Landing Zone配置。

    您为审计账号配置的告警邮箱将收到来自RGC支持区域的通知订阅确认电子邮件。如果您希望您的审计账号接收合规邮件,则必须在每个区域的每封邮件中单击确认订阅的链接。

相关说明

  • 后续需要对现有的组织单元和成员账号进行部署和管理,请参见组织管理概述
  • Landing Zone搭建成功后,系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。
  • Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略,详细的桶策略内容可以前往OBS控制台进行查看。
  • Landing Zone搭建成功后,系统将为存放日志的OBS桶自动配置“对象读权限”,使核心账号拥有查看桶内日志的权限。

相关文档