纳管账号

约束与限制

• 如果账号在纳管前已使用配置审计Config服务且存在资源记录器，纳管后系统会将该账号的资源记录器配置进行覆盖，请谨慎操作。
• 如果您希望将账号通过纳管账号的方式从某个Landing Zone转移至另一个Landing Zone中，请先将账号从原Landing Zone中取消纳管后，再在当前Landing Zone中执行纳管操作。如果您已在当前Landing Zone中完成账号纳管，请手动将在原Landing Zone中该账号的相关资源包括委托、策略等删除，否则将会出现错误。
• 纳管邀请进组织的账号需要根据前提条件完成相应配置，否则账号将会纳管失败。

前提条件

此步骤仅适用需要纳管邀请进组织的账号，纳管在组织中创建的账号请跳过此步骤直接纳管账号即可。

1. 以纳管账号的身份登录华为云，进入华为云IAM控制台。
2. 在左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。
   图1 创建委托
   

3. 设置“委托名称”为“RGCServiceExecutionAgency”。
   图2 委托名称
   

4. “委托类型”选择“普通账号”，在“委托的账号”中输入RGC管理账号名。
5. 选择“持续时间”，填写“描述”信息。
6. 单击“完成”。
7. 在授权的确认弹窗中，单击“立即授权”。
8. 勾选以下三个需要授予委托的权限，分别是：Security Administrator、FullAccess和Tenant Guest。
   图3 需要授予委托的权限
   

9. 单击“下一步”，选择权限的作用范围。
10. 单击“确定”，委托创建完成。RGC管理账号即可在RGC控制台中参考操作步骤完成账号纳管。
    

    RGCServiceExecutionAgency委托创建后不允许删除，否则将会导致RGC服务不可用。

操作步骤

1. 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。
2. 进入组织管理页，单击需要纳管的账号所在行“操作”列的“纳管”。
   图4 纳管账号
   

3. 配置所属组织单元。选择一个已注册的组织单元，并为此账户启用该组织单元配置的所有控制策略。
   图5 选择组织单元
   

4. （可选）配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本，如选择通过模板创建账号，可以实现账号的批量复制创建。
   更多关于资源编排服务RFS模板的信息，请参考RFS模板介绍。

   • 选择模板：选择在RFS中创建好的模板。
   • 模板版本：选择模板的版本。
   • 配置参数：根据业务需求，修改模板中的参数配置。
     图6 配置模板
     

5. 单击“纳管账号”。可以在组织结构中确认账号的纳管结果。纳管成功后，账号将会受到Landing Zone的监管。