本文介紹帳號組的概念、應用情境、使用限制,以及資來源目錄和帳號組中成員帳號變更對配置審計的影響。
概念
帳號組是一群組成員的集合。在一個資來源目錄中,管理帳號可以選擇所有或部分成員形成一個嵌入式管理單元進行集中的合規管理,這個嵌入式管理單元就是帳號組。從資源維度上講,帳號組是多個成員中的資源匯聚而成的資源集區。
管理帳號可以查看帳號組中所有成員中的資源清單、資源詳情、資源配置時間軸、資源合規時間軸和關聯資源,還可以在帳號組中建立規則與合規包。這些規則和合規包將對該帳號組中所有成員下的資源生效,進行持續地合規評估。
應用情境
企業管理帳號可以將資來源目錄中的所有或部分成員帳號加入到同一個帳號組中。帳號組作為一個跨帳號合規管理的嵌入式管理單元,對雲上多個業務和阿里雲帳號的企業使用者實現了集中地合規管理和資料擷取。
帳號組的具體應用情境如下:
跨帳號查看全域資源。企業管理帳號可以查看帳號組內所有成員帳號的資源,還可以在資源清單篩選或搜尋目標資源,並查看資源的詳情和配置時間軸。
跨帳號設定合規基準。企業管理帳號可以在帳號組中建立規則和合規包。這些規則和合規包對帳號組內所有成員帳號的資源生效,且成員帳號不能對其執行修改和刪除操作,實現企業管理帳號對多個成員帳號強制設定統一的合規基準。
跨帳號查看合規視圖。企業管理帳號可以查看每個成員帳號中某條規則對資源的合規檢查結果,也可以查看某條規則對多個成員帳號中所有資源的合規檢查結果,便於對多業務、多帳號進行集中合規管理。
跨帳號收集資源資料。建立帳號組之後,企業管理帳號同時接管了成員帳號的部分配置審計許可權。企業管理帳號可以設定統一的資料投遞,將所有成員帳號的資源配置歷史資料投遞到企業統一用於儲存IT配置資料的企業管理帳號或成員帳號中,作為企業全域的資料管理中心。
跨帳號發送資源事件。企業管理帳號可以設定將所有成員帳號中的資源變更和資源不合規事件統一發送到輕量訊息佇列(原 MNS)的主題中。
如果您使用過企業版配置審計,則在帳號組中預設出現一個包含資來源目錄中所有成員帳號的帳號組,且已有規則仍然有效。
使用限制
帳號組的使用限制如下:
目前僅允許資來源目錄中的企業管理帳號建立帳號組。建立的帳號組中可以包括資來源目錄中的所有成員帳號或部分成員帳號。
每個企業管理帳號最多建立5個帳號組,每個帳號組中最多包含200個成員帳號。
資來源目錄中成員帳號變更對配置審計的影響
資來源目錄中成員帳號變更,對配置審計的影響如下表所示。
操作 | 說明 |
新加入成員帳號 |
|
修改成員帳號歸屬的資源夾 | 配置審計不感知該變更。針對該變更配置審計不做任何處理。 |
移除成員帳號 | 配置審計感知該變更。當您將某個成員帳號移除資來源目錄時,企業管理帳號失去對該成員帳號的系統管理權限,該成員帳號自動從所有帳號組移除。 |
成員帳號被加入帳號組前後和被移除帳號組的功能變化
成員帳號被加入帳號組前後和被移除帳號組的功能變化,如下表所示。
分類 | 說明 |
未被加入任何帳號組 | 作為獨立阿里雲帳號使用配置審計。 |
被加入某個帳號組 |
|
被移除某個帳號組 |
|