日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云防火墻 云防火墻CFW 實踐教程 多賬號管理最佳實踐 多賬號的云防火墻切換到單賬號管理最佳實踐

多賬號的云防火墻切換到單賬號管理最佳實踐

更新時間:
產品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。

部分企業的業務資源會分散在多個阿里云賬號,如果每個阿里云賬號單獨購買云防火墻進行業務防護,可能會因管控疏漏導致網絡安全事件。此時您可以使用多賬號統一管理,實現一個賬號下的云防火墻同時防護多個賬號的資源。本文介紹多個賬號的云防火墻如何切換到一個賬號進行管理。

背景信息

隨著企業上云的進一步深入,越來越多的企業業務遷移至云端,企業購買的云資源迅速增多,資源、項目、人員、權限管理變得極其復雜,單賬號負載過重已無力支撐,多賬號上云模式逐漸成為多業務上云的重要選擇。企業用戶對于跨賬號的云資源具有集中化管理需求,主要體現在安全、審計合規、網絡、運維等產品。

基于以上需求,云防火墻支持通過阿里云資源管理的可信服務功能,將多個阿里云賬號匯總到一個資源目錄(其中每個阿里云賬號表示一個成員賬號),并委派特定的成員作為管理員,使其可以訪問資源目錄下所有成員賬號包含的資源,實現多個阿里云賬號的公網資產和VPC資產統一引流保護、策略配置、流量分析、入侵防護、攻擊防護、失陷感知、日志審計分析。

在操作之前,您需要了解如下賬號信息:

賬號名稱

說明

開通資源管理的權限說明

開通云防火墻的權限說明

企業管理員賬號

企業管理賬號可以邀請資源目錄以外的阿里云賬號加入到資源目錄,作為資源目錄的成員,實現資源的統一管理。

擁有該企業所有資產的管理權限。

可以管理云防火墻上所有的資產。

委派管理員賬號

企業管理賬號可以將資源目錄中的成員設置為可信服務的委派管理員賬號。設置成功后,委派管理員賬號將獲得企業管理賬號的授權,可以在對應可信服務中訪問資源目錄組織和成員信息,并在該組織范圍內進行業務管理。

說明

通過委派管理員賬號,可以將組織管理任務與業務管理任務相分離,企業管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務。

擁有該企業所有資產的管理權限。

可以管理云防火墻上所有的資產。

成員賬號

被企業管理員賬號邀請,且成功加入資源目錄后,會作為資源目錄的成員。

成員賬號只可以管理本賬號的資產。

不允許購買云防火墻。

場景示例

某企業阿里云賬號A、阿里云賬號B以及阿里云賬號C分別開通了云防火墻,導致業務管理難度增大,投入時間增長。該企業決定使用云防火墻多賬號統一管理功能,將阿里云賬號A設置為委派管理員賬號,阿里云賬號B和阿里云賬號C作為阿里云賬號A的多賬號管理的成員賬號。此時只需要為阿里云賬號A開通云防火墻,阿里云賬號B和阿里云賬號C便可以共享阿里云賬號A開通的云防火墻。

image

前提條件

  • 已為企業管理員賬號開通資源目錄。具體操作,請參見開通資源目錄

  • 已為阿里云賬號A開通云防火墻包年包月版(即高級版、企業版和旗艦版)或者按量付費版。具體操作,請參見包年包月

    說明

    目前僅云防火墻包年包月版支持開通多賬號統一管理功能,請確保您將作為委派管理員的賬號已開通支持多賬號統一管理的云防火墻版本。不同的云防火墻包年包月版本支持的多賬號管控數的范圍不同,具體信息,請參見包年包月

    如果默認支持的多賬號管控數的范圍無法滿足您的需求,您可以升級云防火墻規格,擴充多賬號的管控數。

步驟一:邀請資源目錄的成員

企業管理賬號可以邀請資源目錄以外的阿里云賬號加入到資源目錄,作為資源目錄的成員,實現資源的統一管理。

  1. 使用企業管理員賬號登錄資源管理控制臺

  2. 在左側導航欄,選擇資源目錄 > 邀請成員

  3. 單擊邀請成員

  4. 邀請成員面板,填寫邀請的賬號UID/賬號登錄郵箱為阿里云賬號A的ID、阿里云賬號B的ID、阿里云賬號C的ID,確認并勾選風險提示。

    說明

    此處郵箱是注冊賬號時的登錄郵箱,而非注冊賬號后綁定的備用郵箱。您可以一次性輸入多個阿里云賬號實現批量邀請,使用半角逗號(,)分隔。

  5. 單擊確定

步驟二:為資源目錄添加委派管理員

通過委派管理員賬號,可以將組織管理任務與業務管理任務相分離,企業管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務。本文示例中,委派管理員賬號即阿里云賬號A。

  1. 使用企業管理員賬號登錄資源管理控制臺

  2. 在左側導航欄,選擇資源目錄 > 可信服務
  3. 可信服務頁面,單擊目標可信服務操作列的管理
  4. 委派管理員賬號區域,單擊添加

  5. 委派管理員賬號面板,選中阿里云賬號A的ID。

  6. 單擊確定
    添加成功后,使用該委派管理員賬號訪問對應可信服務的多賬號管理模塊,即可進行資源目錄組織范圍內的管理操作。

步驟三:為成員賬號退訂或釋放云防火墻

因為使用多賬號統一管理功能,阿里云賬號B和阿里云賬號C會作為阿里云賬號A的成員賬號,且成員賬號是不允許開通云防火墻。所以您需要先為阿里云賬號B、阿里云賬號C退訂或釋放云防火墻。根據您已開通的云防火墻計費方式(包年包月或者按量付費),參考如下步驟為阿里云賬號B和阿里云賬號C退訂或釋放云防火墻。退訂或釋放前您需要先了解以下注意事項以及退款規則。具體的退款規則,請參見自助退訂

注意事項

  • 退訂或釋放后,原來被互聯網邊界防火墻保護的資產會處于未保護狀態。

  • 如果之前開啟了VPC邊界防火墻,您需要先關閉再退訂或釋放云防火墻。退訂或釋放后業務會處于未保護狀態。退訂或釋放過程中,可能會因為路由切換導致業務中斷,請避開業務高峰期進行操作。

    警告

    如果此過程您不希望業務中斷,可以加入釘群(群號:33081734),聯系產品技術專家進行咨詢。技術專家會幫您進行方案評估并提供技術支持。

  • 退訂或釋放后,原有的訪問控制策略和入侵防御策略會失效。

    重要

    如果需要備份已配置的訪問控制策略和入侵防御策略,您可以加入釘群(群號:33081734),聯系產品技術專家進行咨詢。技術人員會幫您進行方案評估并提供技術支持。

退訂包年包月云防火墻

  1. 分別使用阿里云賬號B和阿里云賬號C登錄云防火墻控制臺

  2. 在頂部菜單欄,選擇費用 > 訂單

  3. 在左側導航欄,選擇訂單管理 > 退訂管理

  4. 單擊普通云產品,然后選擇非全額退訂類型。

  5. 定位到待退訂的包年包月云防火墻實例,在操作列單擊退訂資源

    退訂管理

  6. 退訂資源頁面,確認資源信息并設置退訂原因,仔細閱讀并選中我已認真閱讀《退訂規則》,確認退訂金額我已確認退訂實例數據已完成備份和遷移

  7. 單擊立即退訂,然后確認提示對話框的內容,單擊確定

    退訂申請成功提交后,可選擇單擊訂單列表查看退訂處理詳情。

釋放按量付費云防火墻

  1. 分別使用阿里云賬號B和阿里云賬號C登錄云防火墻控制臺

  2. 總覽頁面,在右上角選擇更多 > 自動釋放

    image

  3. 提示對話框,確認釋放信息,然后單擊確定

步驟四:添加云防火墻成員賬號

云防火墻支持通過阿里云資源管理的可信服務功能,將多個阿里云賬號匯總到一個資源目錄(其中每個阿里云賬號表示一個成員賬號),實現資源目錄下所有成員賬號之間共享資源。

  1. 使用阿里云賬號A登錄云防火墻控制臺

  2. 在左側導航欄,選擇系統設置 > 多賬號統一管理

  3. 多賬號統一管理頁面,單擊添加成員賬號

  4. 添加成員賬號對話框,將阿里云賬號B和阿里云賬號C的賬號ID添加到右側已選導入云防火墻成員賬號列表。然后單擊確定

    此時,阿里云賬號A成功添加阿里云賬號B和阿里云賬號C為它的成員賬號。統一賬號管理

重要

完成添加成員賬號后,默認授權云防火墻可以訪問成員賬號下的云資源。當VPC邊界防火墻防護的云企業網下的網絡實例是跨賬號開通的VPC時,需要您手動授權云防火墻可以訪問該VPC所屬阿里云賬號下的云資源。詳細信息,請參見授權云防火墻訪問云資源

步驟五:為共享的資源配置云防火墻

阿里云賬號B和阿里云賬號C退訂或者釋放云防火墻后,原有的訪問控制策略和入侵防御策略會失效。所以,您需要為阿里云賬號B、阿里云賬號C開通互聯網邊界防火墻、VPC邊界防火墻,且重新配置訪問控制策略和入侵防御策略。

注意事項

  • 互聯網邊界防火墻可實現秒級開啟。

  • VPC邊界防火墻開關重新開啟會因為路由切換,有可能會導致業務中斷。

  • 重新配置訪問控制策略和入侵防御策略。

  1. 使用阿里云賬號A登錄云防火墻控制臺

  2. 在左側導航欄,單擊防火墻開關

  3. 防火墻開關頁面,單擊同步資產,系統為您同步當前賬號及其成員賬號的資產信息。

    整個過程預計需要1~2分鐘。

  4. 待資產同步完成后,您可以為共享的資源開啟云防火墻防護功能。

    • 開啟互聯網邊界防火墻

      具體操作,請參見互聯網邊界防火墻

    • 開啟VPC邊界防火墻

      VPC邊界防火墻分為以下三種場景,您需要根據業務情況匹配對應的場景。

      VPC邊界防火墻類型

      應用場景

      操作指導

      企業版轉發路由器的VPC邊界防火墻

      支持防護:

      • 同地域多個專有網絡VPC(Virtual Private Cloud)互訪的流量

      • 通過企業版轉發路由器TR(Transit Router)實現跨地域多個VPC互訪的流量

      • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本地數據中心IDC互訪的流量)

      • VPC和云連接網CCN(Cloud Connect Network)互訪的流量

      • 多個VBR互訪的流量

      • CCN和VBR互訪的流量

      • VPC和公網VPN互訪的流量

      不支持防護:多個CCN互訪的流量

      配置企業版轉發路由器的VPC邊界防火墻

      基礎版轉發路由器的VPC邊界防火墻

      支持防護:

      • 同地域多個專有網絡VPC(Virtual Private Cloud)互訪的流量

      • 通過基礎版轉發路由器TR(Transit Router)實現跨地域多個VPC互訪的流量

      • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本地數據中心IDC互訪的流量)

      • VPC和云連接網CCN(Cloud Connect Network)互訪的流量

      不支持防護:

      • 多個VBR互訪的流量

      • CCN和VBR互訪的流量

      • 多個CCN互訪的流量

      配置基礎版轉發路由器的VPC邊界防火墻

      高速通道VPC邊界防火墻

      支持防護:

      • 高速通道連接專有網絡VPC(Virtual Private Cloud)模式下,同賬號同地域多個VPC互訪的流量

      • VPC對等連接模式下,同地域(包含同賬號和跨賬號)多個VPC互訪的流量

      不支持防護:

      • 高速通道連接專有網絡VPC(Virtual Private Cloud)模式下,跨賬號跨地域多個VPC互訪的流量

      • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量

      說明

      如果需要防護VPC跨地域、跨賬號或VPC與VBR間的互訪的流量,建議您改為云企業網組網。相關信息,請提交工單

      配置高速通道VPC邊界防火墻

    • 配置訪問控制策略

      具體操作,請參見配置互聯網邊界訪問控制策略配置VPC邊界訪問控制策略配置主機邊界訪問控制策略

    • 配置入侵防御策略

      具體操作,請參見入侵防御

步驟六:驗證業務的穩定性

根據業務的流量情況,您可以查看訪問控制策略的命中情況和流量日志的詳細信息。如果訪問控制策略的命中情況和流量日志都符合您的配置預期,未出現異常信息,表示您的配置正確,業務已經穩定。關于訪問控制策略的命中情況和流量日志的詳細信息,請前往訪問控制策略頁面日志審計頁面查看。