更新Landing Zone

管理员有责任随时更新Landing Zone，以确保Landing Zone可以得到修复和更新。为了避免Landing Zone受到合规问题的影响，管理员需要及时发现提示的漂移现象并立即解决这些问题。可以将Landing Zone更新至当前版本或更高版本。通过更新Landing Zone，可以解决某些类型的漂移问题。

通过更新Landing Zone，您可以实现更新以下配置。

如果当前没有核心账号或核心OU漂移时：只能更新管理账号、告警邮箱、是否启用CTS以及OBS桶日志保留时长。
如果当前只有核心账号或核心OU漂移时：除了上述配置，还可以更新核心组织单元和账号。

更新Landing Zone时，您将会自动收到RGC的最新功能，可以在“Landing Zone设置”的“版本”页签中查看当前的Landing Zone。

约束与限制

如果更新前，Landing Zone的状态为更新失败时，本次更新仅允许更新至当前版本。
如果更新前，Landing Zone的状态为搭建失败或漂移修复失败时，将无法执行更新。
如果更新前，Landing Zone无上述失败的状态时，本次更新允许从低版本更新至当前版本或更高的版本。

操作步骤

以RGC管理员身份登录华为云，进入华为云RGC控制台。
进入Landing Zone设置页，选择“版本”页签。
选择需要更新的版本。

图1 选择版本
单击“更新版本”。

图2 更新Landing Zone

完成Landing Zone更新后，您将无法撤销更新或降级到先前的版本。
更新区域设置。可以选择除主区域之外还需要治理的区域。设置后，您可以在治理范围中添加区域。移除某个区域并不妨碍您在该区域部署资源，但这些资源将不在RGC的治理范围之内。

图3 更新区域设置
更新核心组织单元和账号。
- 更新管理账号：
  - 开通IAM身份中心：RGC将在IAM身份中心创建RGC管理员，该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源，则RGC默认创建的IAM身份中心用户无法登录。
  - 不开通IAM身份中心：如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源，则选择不开通IAM身份中心。
- 更新告警邮箱：
  输入审计账号的告警邮箱，该邮箱用于接收RGC预置告警通知，请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
图4 更新核心组织单元和账号
单击“下一步”。
更新日志配置。
- 选择是否启用CTS：
  如果您未在搭建Landing Zone页面启用CTS，则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。
- 更新OBS日志配置：
  - 创建OBS桶：需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中，不支持自定义OBS桶名。
    - 日志汇聚桶数据保留时长：默认设置为1年。最长设置为15年。
      该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照，并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。
    - OBS桶访问日志保留时长：默认设置为10年。最长设置为15年。
      该桶将会存放访问上述日志汇聚桶而产生的日志，并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。
  - 使用现有OBS桶：需要输入日志账号下的OBS桶名称，如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全，建议使用桶策略为私有的OBS桶。
图5 更新日志配置
单击“下一步”。
确认更新的设置信息无误，单击“确定”。RGC将会开始对Landing Zone进行更新。

更新成功后，RGC界面将会出现更新成功的提示。

如果更新失败，RGC不会退回到之前的Landing Zone版本，Landing Zone可能将会处于不确定的状态。如果出现该问题，请提交工单。