多賬號統(tǒng)一管理
云防火墻支持通過阿里云資源管理的可信服務(wù)功能,將多個阿里云賬號匯總到一個資源目錄(其中每個阿里云賬號表示一個成員賬號),并委派特定的成員作為管理員,使其可以訪問資源目錄下所有成員賬號包含的資源,實現(xiàn)多個阿里云賬號的公網(wǎng)資產(chǎn)和VPC資產(chǎn)統(tǒng)一引流保護、策略配置、流量分析、入侵防護、攻擊防護、失陷感知、日志審計分析。本文介紹如何進行多賬號統(tǒng)一管理。
背景信息
隨著企業(yè)上云的進一步深入,越來越多的企業(yè)業(yè)務(wù)遷移至云端,企業(yè)購買的云資源迅速增多,資源、項目、人員、權(quán)限管理變得極其復(fù)雜,單賬號負載過重已無力支撐,多賬號上云模式逐漸成為多業(yè)務(wù)上云的重要選擇。企業(yè)用戶對于跨賬號的云資源具有集中化管理需求,主要體現(xiàn)在安全、審計合規(guī)、網(wǎng)絡(luò)、運維等產(chǎn)品。
在操作之前,您需要了解如下賬號信息:
賬號名稱 | 說明 | 開通資源管理的權(quán)限說明 | 開通云防火墻的權(quán)限說明 |
企業(yè)管理員賬號 | 企業(yè)管理賬號可以邀請資源目錄以外的阿里云賬號加入到資源目錄,作為資源目錄的成員,實現(xiàn)資源的統(tǒng)一管理。 | 擁有該企業(yè)所有資產(chǎn)的管理權(quán)限。 | 可以管理云防火墻上所有的資產(chǎn)。 |
委派管理員賬號 | 企業(yè)管理賬號可以將資源目錄中的成員設(shè)置為可信服務(wù)的委派管理員賬號。設(shè)置成功后,委派管理員賬號將獲得企業(yè)管理賬號的授權(quán),可以在對應(yīng)可信服務(wù)中訪問資源目錄組織和成員信息,并在該組織范圍內(nèi)進行業(yè)務(wù)管理。 說明 通過委派管理員賬號,可以將組織管理任務(wù)與業(yè)務(wù)管理任務(wù)相分離,企業(yè)管理賬號執(zhí)行資源目錄的組織管理任務(wù),委派管理員賬號執(zhí)行可信服務(wù)的業(yè)務(wù)管理任務(wù)。 | 擁有該企業(yè)所有資產(chǎn)的管理權(quán)限。 | 可以管理云防火墻上所有的資產(chǎn)。 |
成員賬號 | 被企業(yè)管理員賬號邀請,且成功加入資源目錄后,會作為資源目錄的成員。 | 成員賬號只可以管理本賬號的資產(chǎn)。 | 不允許購買云防火墻。 |
限制說明
包年包月各版本包含的多賬號管控數(shù),請參見包年包月。
僅支持對成員賬號下的互聯(lián)網(wǎng)邊界防火墻、VPC邊界防火墻、NAT防火墻、DNS防火墻和安全正向代理防護的資產(chǎn)進行統(tǒng)一管理。
已統(tǒng)一管理的成員賬號將無法購買云防火墻,其資產(chǎn)流量也會被統(tǒng)一管理。
前提條件
已開通云防火墻高級版、企業(yè)版、旗艦版、按量付費版。
配置流程
在使用賬號統(tǒng)一管理功能之前,您需要先開通資源目錄、添加委派管理員賬號以及邀請成員賬號,然后再通過云防火墻的多賬號統(tǒng)一管理功能,添加多個成員賬號,實現(xiàn)對成員賬號的集中管理。
步驟一:開通資源目錄
請使用經(jīng)過企業(yè)實名認證的阿里云賬號開通資源目錄。個人實名認證賬號不能開通資源目錄。目前存在兩種開通資源目錄的方式,使用不同的開通方式所獲得的管理賬號不同。具體操作,請參見開通資源目錄。
登錄賬號中心控制臺。在左側(cè)導(dǎo)航欄的實名認證頁面,查看您當前賬號是否為企業(yè)實名賬號。
步驟二:邀請成員
被邀請方成功加入資源目錄后,會作為資源目錄的成員,由資源目錄統(tǒng)一管理。在添加委派管理員賬號時,可選擇被邀請的成員。具體操作,請參見邀請阿里云賬號加入資源目錄。
如果您沒有待邀請的成員賬號,也可以直接創(chuàng)建成員。具體操作,請參見創(chuàng)建成員。
步驟三:添加委派管理員賬號
通過委派管理員賬號,可以將組織管理任務(wù)與業(yè)務(wù)管理任務(wù)相分離,管理賬號執(zhí)行資源目錄的組織管理任務(wù),委派管理員賬號執(zhí)行可信服務(wù)的業(yè)務(wù)管理任務(wù),這符合安全最佳實踐的建議。使用該委派管理員賬號訪問云防火墻的多賬號統(tǒng)一管理模塊,即可進行資源目錄組織范圍內(nèi)的管理操作。具體操作,請參見管理委派管理員賬號。
步驟四:添加成員賬號
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在多賬號統(tǒng)一管理頁面,單擊添加成員賬號。
在添加成員賬號對話框中,選擇可導(dǎo)入的成員賬號并添加到右側(cè)已選導(dǎo)入云防火墻成員賬號列表中。
在右側(cè)已選導(dǎo)入云防火墻成員賬號列表中,選擇目標成員賬號,單擊確定。
添加多個成員賬號后,您可以在成員賬號列表中查看各個賬號的UID、賬號名稱等信息,可以刪除已添加的成員賬號。您也可以在防火墻開關(guān)功能下查看已添加的成員賬號下的云資產(chǎn),并對云資產(chǎn)執(zhí)行開啟或關(guān)閉保護的操作。
完成添加成員賬號后,默認授權(quán)云防火墻可以訪問成員賬號下的云資源。當VPC邊界防火墻防護的云企業(yè)網(wǎng)下的網(wǎng)絡(luò)實例是跨賬號開通的VPC時,需要您手動授權(quán)云防火墻可以訪問該VPC所屬阿里云賬號下的云資源。詳細信息,請參見授權(quán)云防火墻訪問云資源。