多账号管理
操作场景
在多云环境下,企业通常需要对多个账号的互联网出口IP(EIP)进行统一的安全管理。然而,传统方式下需要逐个配置防火墙策略,管理效率较低且存在安全漏洞。云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,如果您的账号由组织(Organizations)进行统一管理,则可以对组织内任意成员账号的EIP进行统一的资产防护。
有关组织的详细说明请参见《组织用户指南》。
账号权限信息
- 在使用多账号管理功能前,您需要了解如下账号信息:
表1 多账号防护权限信息 账号分类
功能
权限说明
组织管理员账号
组织管理员账号是创建组织的账号,使用Organizations服务创建组织,并管理组织中的组织单元、账号和整个组织的相关策略。
拥有该组织所有账号的管理权限。
委托管理员账号
委托管理员账号是一个组织中有特殊权限的成员账号,管理账号可指定某个成员账号为某个可信服务的委托管理员账号。
拥有该组织所有账号的管理权限。
成员账号
除管理账号外,组织中的剩余账号都为成员账号。一个账号一次只能是一个组织的成员。
查看组织基本信息。
- 在使用多账号功能时,为了请求受邀账号下的EIP的信息,云防火墙会自动在组织管理员(或委托管理员)和受邀账号中创建服务关联委托:
- 该委托是云服务委托,委托权限为“CFWServiceLinkedAgencyPolicy”,“委托名称”为“ServiceLinkedAgencyForCloudFirewall”,授权范围为“所有资源”。
- 删除受邀账号时,云防火墙会自动删除B账号内的服务关联委托。
- 退订云防火墙服务时,会自动删除组织管理员(或委托管理员)和所有成员账号内的服务关联委托。
约束与限制
- 仅支持对成员账号的弹性公网IP统一管理。
- 不支持跨区域防护EIP资源,如需在其它区域使用,请切换到对应区域购买防火墙,具体操作请参见购买及变更云防火墙。
- 单个防火墙实例支持防护的账号个数如下:
- 包年/包月防火墙:
- 基础版:不支持多账号管理功能
- 标准版:20个
- 专业版:50个
- 按需计费防火墙(专业版):20个
- 包年/包月防火墙:
配置流程及配置步骤
在使用多账号防护功能之前,您需要先开通企业中心、开通组织服务并创建组织、设置云防火墙为可信服务、添加委托管理员账号以及邀请成员账号,然后再通过云防火墙的多账号管理功能,添加多个组织内成员账号,实现对成员账号EIP资源的集中安全防护与统一管理。
- (可选)开通企业中心。
企业中心提供了多个华为云账号之间形成企业主子账号关联关系的能力,您可以根据自己的企业结构创建多层组织、新建子账号或关联子账号,并使其从属于您创建的组织,从而对子账号的财务进行管理。
当前账号需开通企业中心并成为企业主账号,详细操作请参见开通企业中心功能。
- (可选)开通组织云服务并创建组织。
组织云服务为企业用户提供多账号关系的管理能力。组织支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。
使用您当前的账号作为管理账号创建组织。详细操作请参见创建组织。
- 在组织服务中将云防火墙设置为可信服务。
管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。
详情请参见启用可信服务。
- (可选)在组织服务中设置委托管理员账号。
管理账号可指定某个成员账号为某个可信服务的委托管理员账号。成为委托管理员账号后,该成员账号下的用户可以使用对应可信服务的组织级管理能力。
详细操作请参见添加委托管理员。
- 在组织服务中,由组织管理员或委托管理员邀请账号加入组织。
组织管理员或委托管理员邀请账号加入组织,受邀账号接受邀请。受邀账号成功加入组织后,将作为组织的成员,有组织进行统一管理。
详细操作请参见邀请账号加入组织。
- 在云防火墙服务中,由组织管理员或委托管理员将受邀账号加入多账号管理列表中。
- 添加成功后,可以在多账号管理页面的账号列表中查看已添加的账号信息。
表2 账号列表参数说明 参数名称
参数说明
账号名
账号名称。
EIP数
账号下的EIP数量。
已开启防护数量
当前防火墙防护的EIP数量。
未开启防护数量
当前防火墙未开启防护的EIP数量。
配置示例
通过云防火墙对组织成员账号进行资产防护需要执行以下操作(以A账号管理B账号下的资产为例):
配置验证
配置成功后,您可以在页面查看其它账号下的EIP,并在“所有者”列查看当前EIP所属的账号信息。
相关文档
- 删除组织成员账号:勾选目标账号,单击列表上方的“删除账号”并在弹出的确认框中单击“确定”。
- 使用CFW跨账号防护EIP资源
- 使用CFW跨账号防护VPC资源
