更新时间:2024-05-11 GMT+08:00
纳管账号
在RGC设置Landing Zone前,在组织中创建的账号或邀请进组织的账号将不会在Landing Zone中自动纳管,需要手动纳管。纳管后,账号将会被Landing Zone进行监管。
约束与限制
- 如果账号在纳管前已使用配置审计Config服务且存在资源记录器,纳管后系统会将该账号的资源记录器配置进行覆盖,请谨慎操作。
- 纳管邀请进组织的账号需要根据前提条件完成相应配置,否则账号将会纳管失败。
前提条件
此步骤仅适用需要纳管邀请进组织的账号,纳管在组织中创建的账号请跳过此步骤直接纳管账号即可。
- 以纳管账号的身份登录华为云,进入华为云IAM控制台。
- 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。
图1 创建委托
- 设置“委托名称”为“RGCServiceExecutionAgency”。
图2 委托名称
- “委托类型”选择“普通账号”,在“委托的账号”中输入RGC管理账号名。
- 选择“持续时间”,填写“描述”信息。
- 单击“下一步”,进入给委托授权页面。
- 勾选以下三个需要授予委托的权限,分别是:Security Administrator、FullAccess和Tenant Guest。
图3 需要授予委托的权限
- 单击“下一步”,选择权限的作用范围。
- 单击“确定”,委托创建完成。RGC管理账号即可在RGC控制台中参考纳管账号完成账号纳管。
纳管账号
- 以RGC管理账号的身份登录华为云,进入华为云RGC控制台,进入组织管理页面。
- 进入组织管理页,单击需要纳管的账号所在行“操作”列的“纳管”。
图4 纳管账号
- 配置所属组织单元。选择一个已注册的组织单元,并为此账户启用该组织单元配置的所有控制策略。
图5 选择组织单元
- (可选)配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本,如选择通过模板创建账号,可以实现账号的批量复制创建。
更多关于资源编排服务RFS模板的信息,请参考RFS模板介绍。
- 选择模板:选择在RFS中创建好的模板。
- 模板版本:选择模板的版本。
- 配置参数:根据业务需求,修改模板中的参数配置。
图6 配置模板
- 单击“纳管账号”。可以在组织结构中确认账号的纳管结果。纳管成功后,账号将会受到Landing Zone的监管。
取消纳管账号
如果不再需要对某个账号进行管理,可以对该账号取消纳管。
- 以RGC管理账号的身份登录华为云,进入华为云RGC控制台,进入组织管理页面。
- 进入组织管理页,单击需要取消纳管的账号所在行“操作”列的“取消纳管”。
图7 取消纳管账号
- 单击“确认”。此操作无法撤销,请谨慎操作。
可以在组织结构中账号的确认取消纳管结果。取消纳管后,账号将从之前所在的组织单元移动至根组织单元下。
父主题: 组织管理
