本文介紹賬號組的概念、應用場景、使用限制,以及資源目錄和賬號組中成員賬號變更對配置審計的影響。
概念
賬號組是一組成員的集合。在一個資源目錄中,管理賬號可以選擇所有或部分成員形成一個管理單元進行集中的合規管理,這個管理單元就是賬號組。從資源維度上講,賬號組是多個成員中的資源匯聚而成的資源池。
管理賬號可以查看賬號組中所有成員中的資源列表、資源詳情、資源配置時間線、資源合規時間線和關聯資源,還可以在賬號組中新建規則與合規包。這些規則和合規包將對該賬號組中所有成員下的資源生效,進行持續地合規評估。
應用場景
企業管理賬號可以將資源目錄中的所有或部分成員賬號加入到同一個賬號組中。賬號組作為一個跨賬號合規管理的管理單元,對云上多個業務和阿里云賬號的企業用戶實現了集中地合規管理和數據采集。
賬號組的具體應用場景如下:
跨賬號查看全局資源。企業管理賬號可以查看賬號組內所有成員賬號的資源,還可以在資源列表篩選或搜索目標資源,并查看資源的詳情和配置時間線。
跨賬號設置合規基線。企業管理賬號可以在賬號組中新建規則和合規包。這些規則和合規包對賬號組內所有成員賬號的資源生效,且成員賬號不能對其執行修改和刪除操作,實現企業管理賬號對多個成員賬號強制設置統一的合規基線。
跨賬號查看合規視圖。企業管理賬號可以查看每個成員賬號中某條規則對資源的合規檢查結果,也可以查看某條規則對多個成員賬號中所有資源的合規檢查結果,便于對多業務、多賬號進行集中合規管理。
跨賬號收集資源數據。新建賬號組之后,企業管理賬號同時接管了成員賬號的部分配置審計權限。企業管理賬號可以設置統一的數據投遞,將所有成員賬號的資源配置歷史數據投遞到企業統一用于存儲IT配置數據的企業管理賬號或成員賬號中,作為企業全局的數據管理中心。
跨賬號發送資源事件。企業管理賬號可以設置將所有成員賬號中的資源變更和資源不合規事件統一發送到輕量消息隊列(原 MNS)的主題中。
如果您使用過企業版配置審計,則在賬號組中默認出現一個包含資源目錄中所有成員賬號的賬號組,且已有規則仍然有效。
使用限制
賬號組的使用限制如下:
目前僅允許資源目錄中的企業管理賬號新建賬號組。新建的賬號組中可以包括資源目錄中的所有成員賬號或部分成員賬號。
每個企業管理賬號最多新建5個賬號組,每個賬號組中最多包含200個成員賬號。
資源目錄中成員賬號變更對配置審計的影響
資源目錄中成員賬號變更,對配置審計的影響如下表所示。
操作 | 說明 |
新加入成員賬號 |
|
修改成員賬號歸屬的資源夾 | 配置審計不感知該變更。針對該變更配置審計不做任何處理。 |
移除成員賬號 | 配置審計感知該變更。當您將某個成員賬號移除資源目錄時,企業管理賬號失去對該成員賬號的管理權限,該成員賬號自動從所有賬號組移除。 |
成員賬號被加入賬號組前后和被移除賬號組的功能變化
成員賬號被加入賬號組前后和被移除賬號組的功能變化,如下表所示。
分類 | 說明 |
未被加入任何賬號組 | 作為獨立阿里云賬號使用配置審計。 |
被加入某個賬號組 |
|
被移除某個賬號組 |
|