針對擁有多個阿里云賬號,且每個賬號下都有云產品需要接入WAF防護的企業級客戶,可通過阿里云資源管理的可信服務功能,將多個阿里云賬號匯總到一個資源目錄(其中每個阿里云賬號表示一個成員賬號),并委派特定的成員作為WAF管理員,使其可以訪問資源目錄下所有成員賬號包含的云產品資源,從而實現WAF接入和防護配置的統一管理。本文介紹如何進行多賬號統一管理。
使用限制
已開通Web應用防火墻(Web Application Firewall,簡稱WAF)企業版、旗艦版。其他版本不支持多賬號統一管理。
管理賬號和成員賬號必須屬于同一個資源目錄,且必須為同一個企業實名認證主體。
管理賬號已購買了中國內地的WAF實例,則成員賬號不支持單獨購買中國內地的WAF實例,但可以購買非中國內地的WAF實例。如果您的成員賬號已存在運行中的WAF實例,請先釋放實例,再進行多賬號統一管理的相關步驟。
成員賬號的云產品資產接入管理員賬號的WAF實例后,僅支持在管理員賬號的WAF控制臺查看防護配置、總覽和安全報表等功能。
管理員賬號在WAF控制臺刪除成員時,系統會自動移除在管理員賬號下進行防護的該成員賬號的云產品資產。
配置流程
在使用多賬號統一管理功能之前,您需要先開通資源目錄、添加WAF委派管理員賬號并邀請成員賬號,再通過Web應用防火墻的多賬號統一管理功能,添加多個成員賬號,實現對成員賬號云產品資產的集中管理。
步驟一:開通資源目錄
使用多賬號統一管理功能前,您需要將企業的多個阿里云賬號匯總到一個資源目錄。關于資源目錄的詳細介紹,請參見資源目錄概述。
登錄資源管理控制臺,使用管理賬號,開通資源目錄。具體操作,請參見開通資源目錄。
步驟二:邀請成員
被邀請方成功加入資源目錄后,會作為資源目錄的成員,由資源目錄統一管理。在添加委派管理員賬號時,可選擇被邀請的成員。
登錄資源管理控制臺,使用管理賬號邀請成員,搭建企業的組織結構。具體操作,請參見創建資源夾、邀請阿里云賬號加入資源目錄。
如果您沒有待邀請的成員賬號,也可以直接創建成員。具體操作,請參見創建成員。
步驟三:添加委派管理員賬號
通過委派管理員賬號,可以將組織管理任務與業務管理任務相分離,管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務,這符合安全最佳實踐的建議。使用該委派管理員賬號訪問Web應用防火墻的多賬號統一管理模塊,即可進行資源目錄組織范圍內的管理操作。具體操作,請參見管理委派管理員賬號。
步驟四:添加成員賬號
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,單擊多賬號統一管理。
在多賬號統一管理頁面,單擊添加成員賬號
在添加成員賬號對話框中,選擇可導入的成員賬號并添加到右側已選導入Web應用防火墻成員賬號列表中。
在右側已選導入Web應用防火墻成員賬號列表中,選擇目標成員賬號,單擊確定。
步驟五:接入成員賬號的云產品資產
根據不同云產品資產,選擇對應的接入方式
云產品資產 | 接入方式 |
ALB | 在成員賬號的ALB控制臺接入,接入后可在云產品接入ALB實例列表中查看。 |
CLB(HTTP/HTTPS) | 成員賬號的CLB資產會自動同步到委派管理員賬號,可在委派管理員的WAF控制臺接入。 |
CLB(TCP) | 成員賬號的CLB資產會自動同步到委派管理員賬號,可在委派管理員的WAF控制臺接入。 |
ECS | 成員賬號的ECS資產會自動同步到委派管理員賬號,可在委派管理員的WAF控制臺接入。 |
MSE | 在成員賬號的MSE控制臺接入,接入后可在云產品接入MSE實例列表中查看。 |
FC | 在成員賬號的FC控制臺接入,接入后可在云產品接入FC實例列表中查看。 |
SAE | 在成員賬號的SAE控制臺接入,接入后可在云產品接入SAE實例列表中查看。 |