跨帳號使用DDoS防護 - Anti-DDoS

針對企業使用者擁有多個阿里雲帳號的情境，DDoS原生防護支援您在一個帳號下購買執行個體，其他帳號共用該執行個體，以降低您的採購成本，全面保護資產安全。本文介紹如何配置跨帳號共用一個DDoS原生防護執行個體。

支援的執行個體類型

DDoS原生防護2.0（訂用帳戶）企業版執行個體、DDoS原生防護2.0（後付費）執行個體

說明

多帳號管理功能使用前需要審核，因此如需使用請聯絡商務經理。

帳號類型介紹

使用多帳號管理功能前，您需要先建立資來源目錄，資來源目錄中包含如下3種帳號類型。關於資來源目錄的詳細介紹，請參見什麼是資來源目錄。

管理帳號：使用管理帳號開通資來源目錄，管理帳號就是資來源目錄的超級管理員，對資來源目錄、資源夾和成員擁有完全控制許可權。
委派管理員帳號：管理帳號可以將資來源目錄中的成員設定為委派管理員帳號。委派管理員帳號將獲得管理帳號的授權，可以訪問資來源目錄組織和成員資訊。
成員帳號：您可以在資來源目錄中新建立成員帳號，也可以通過邀請的方式將已有的阿里雲帳號加入到資來源目錄。

管理帳號和委派管理員帳號下購買的原生防護執行個體，均可以防護成員帳號的公網IP資產。但通常建議您使用管理帳號執行資源目錄的組織管理工作，委派管理員帳號執行業務管理工作，使組織管理工作與業務管理工作相分離，提高管理靈活性和高效性。

說明

配置完資來源目錄後，您還需要在流量安全控制台，將成員帳號關聯到管理帳號或委派管理員帳號，才能對成員帳號的資產配置DDoS防護。

成員帳號只能關聯到管理帳號、委派管理員帳號的其中一個。
管理帳號的原生防護執行個體，只能防護管理帳號關聯的成員帳號的公網IP資產。委派管理員帳號的原生防護執行個體，只能防護委派管理員帳號關聯的成員帳號的公網IP資產。

注意事項

管理帳號、委派管理員帳號、成員帳號必須屬於同一個資來源目錄，且必須為同一個企業實名認證主體。
成員帳號也可以單獨購買DDoS原生防護執行個體，但同一個公網IP資產只能被一個DDoS原生防護執行個體進行防護。
例如，成員帳號下的公網IP資產，已經被成員帳號購買的DDoS原生防護執行個體進行防護，如果要使用委派管理員帳號統一進行資產防護時，請先在成員帳號下把該公網IP資產刪除，再使用委派管理員帳號的DDoS原生防護執行個體進行防護。
管理帳號或委派管理員帳號在流量安全控制台刪除關聯的成員帳號時，防護的該成員帳號的公網IP資產也會被自動移除，即管理帳號或委派管理員帳號的執行個體不再繼續防護該公網IP資產。

費用說明

成員帳號下的公網IP資產，使用管理帳號或委派管理員帳號下的DDoS原生防護執行個體防護後，具體費用遵循如下原則：

DDoS原生防護2.0（訂用帳戶）企業版執行個體：該執行個體為預付費執行個體，防護成員帳號下的公網IP資產，不產生額外費用。
DDoS原生防護2.0（後付費）執行個體：該執行個體為後付費執行個體，防護成員帳號下的公網IP資產，產生的費用由該執行個體所屬的帳號付費。

查看成員帳號的公網IP資產的相關資訊

使用管理帳號或委派管理員帳號的DDoS原生防護執行個體，防護成員帳號的公網 IP 資產時，控制台上是否會顯示該公網IP資產的統計資料，請參考以下表格。

×：表示統計的資料中不包含該公網IP資產。
√：表示統計的資料中包含該公網IP資產。

控制台頁面	管理帳號/委派管理員帳號	成員帳號
總覽	×	√
資產中心	×	√
事件中心	×	×
統計報表	√	×
業務監控	√	×
防護對象	√	×
防護配置	√	×
攻擊分析	√	×
防護日誌	√	×
動作記錄	√	×
CloudMonitor警示	√	×
賬單中心	√	×

說明

以下操作步驟以使用管理帳號執行資源目錄的組織管理工作，委派管理員帳號執行業務管理工作為例。如果您不需要設定委派管理員帳號，即使用管理帳號執行組織管理工作和業務管理工作，將以下步驟中委派管理員執行的操作，改為使用管理帳號執行即可。

步驟一：開通資來源目錄並搭建企業的組織架構

使用多帳號管理功能前，您需要將企業的多個阿里雲帳號匯總到一個資來源目錄。

在資源管理主控台，使用管理帳號，開通資來源目錄。具體操作，請參見開通資來源目錄。
在資源管理主控台，使用管理帳號，搭建企業的組織圖。您可以建立新的成員，也可以邀請已有的阿里雲帳號加入組織。
具體操作，請參見建立資源夾、建立成員和邀請阿里雲帳號加入資來源目錄。
在資源管理主控台，使用管理帳號，將成員帳號設定為委派管理員帳號。具體操作，請參見管理委派管理員帳號。

步驟二：將成員帳號關聯到委派管理員帳號

您需要在委派管理員帳號中關聯成員帳號，才能查看該成員帳號的公網IP資產。

使用委派管理員帳號登入流量安全產品控制台。
在左側導覽列，選擇網絡安全 > DDoS原生防護 > 多帳號管理。
單擊新增成員帳號，仔細閱讀對話方塊中的提示資訊，單擊下一步。
重要
新增成員帳號後，委派管理員帳號會被授權訪問並擷取成員帳號的公網IP資產。
勾選您要添加的成員帳號後，單擊表徵圖，然後單擊確定。
添加完成後，您可以使用委派管理員帳號的執行個體防護成員帳號的公網IP資產。

步驟三：使用委派管理員帳號的執行個體，防護成員帳號的公網IP資產

您需要將成員帳號的公網IP資產，添加到委派管理員帳號執行個體的防護對象中，才能防護該公網IP資產。

重要

如果委派管理員帳號的執行個體是DDoS原生防護2.0後付費執行個體，且您的成員帳號下新購買的是DDoS防護（增強版）EIP，請跳過本步驟。因為該情境下，系統會將該公網IP資產自動添加到委派管理員帳號的防護對象中，無需您手動添加。

但對於綁定委派管理員帳號前，成員帳號購買的DDoS防護（增強版）EIP，如果您後續綁定了委派管理員帳號，該公網IP資產不會自動切換到由委派管理員帳號防護。如需使用委派管理員帳號防護，您需要先釋放該DDoS防護（增強版）EIP，再停用成員帳號的後付費執行個體，然後重新在成員帳號下購買DDoS防護（增強版）EIP。

使用委派管理員帳號登入流量安全產品控制台。
在左側導覽列，選擇網絡安全 > DDoS原生防護 > 防护对象。
選擇目標DDoS原生防護執行個體，單擊添加防護對象後，單擊成員帳號資產添加頁簽。
選擇成員帳號，然後在待選擇對象地區選取項目要防護的公網IP資產，單擊表徵圖，然後單擊確認。

步驟四：為成員帳號的公網IP資產配置防護策略

將成員帳號的公網IP資產，添加到防護對象後，防護模版顯示為默认，表示該公網IP資產使用的DDoS原生防護的預設防護能力。

如果您的業務要求允許存取或丟棄包含指定特徵的業務流量，可以使用委派管理員帳號登入流量安全控制台，為該公網IP資產綁定自訂的防護原則範本。具體操作，請參見防護配置。

步驟五：查看成員帳號的公網IP資產受到的攻擊事件

使用委派管理員帳號登入流量安全產品控制台。
在左側導覽列，選擇網絡安全 > DDoS原生防護 > 攻击分析。
在攻击分析頁面，選擇帳號範圍，查看攻擊事件的詳情。
- 所有帳號：包含管理帳號的公網IP資產，也包含成員帳號的公網IP資產。
- 委派管理員帳號：僅查看該帳號下的公網IP資產。
- 成員帳號：僅查看該成員帳號下的公網IP資產。