Cloud Firewall支援通過阿里雲資源管理的可信服務功能,將多個阿里雲帳號匯總到一個資來源目錄(其中每個阿里雲帳號表示一個成員帳號),並委派特定的成員作為管理員,使其可以訪問資來源目錄下所有成員帳號包含的資源,實現多個阿里雲帳號的公網資產和VPC資產統一引流保護、策略配置、流量分析、入侵防護、攻擊防護、失陷感知、日誌審計分析。本文介紹如何進行多帳號統一管理。
背景資訊
隨著企業上雲的進一步深入,越來越多的企業業務遷移至雲端,企業購買的雲資源迅速增多,資源、專案、人員、許可權管理變得極其複雜,單帳號負載過重已無力支撐,多帳號上雲模式逐漸成為多業務上雲的重要選擇。企業使用者對於跨帳號的雲資源具有集中化管理需求,主要體現在安全、審計合規、網路、營運等產品。
在操作之前,您需要瞭解如下帳號資訊:
帳號名稱 | 說明 | 開通資源管理的許可權說明 | 開通Cloud Firewall的許可權說明 |
企業管理員帳號 | 企業管理帳號可以邀請資來源目錄以外的阿里雲帳號加入到資來源目錄,作為資來源目錄的成員,實現資源的統一管理。 | 擁有該企業所有資產的系統管理權限。 | 可以管理Cloud Firewall上所有的資產。 |
委派管理員帳號 | 企業管理帳號可以將資來源目錄中的成員設定為可信服務的委派管理員帳號。設定成功後,委派管理員帳號將獲得企業管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。 說明 通過委派管理員帳號,可以將組織管理工作與業務管理工作相分離,企業管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作。 | 擁有該企業所有資產的系統管理權限。 | 可以管理Cloud Firewall上所有的資產。 |
成員帳號 | 被企業管理員帳號邀請,且成功加入資來源目錄後,會作為資來源目錄的成員。 | 成員帳號只可以管理本帳號的資產。 | 不允許購買Cloud Firewall。 |
限制說明
訂用帳戶各版本包含的多帳號管控數,請參見訂用帳戶。
僅支援對成員帳號下的互連網邊界防火牆、VPC邊界防火牆、NAT防火牆和安全正向 Proxy防護的資產進行統一管理。
已統一管理的成員帳號將無法購買Cloud Firewall,其資產流量也會被統一管理。
前提條件
已開通Cloud Firewall進階版、企業版、旗艦版、隨用隨付版。
配置流程
在使用帳號統一管理功能之前,您需要先開通資來源目錄、添加委派管理員帳號以及邀請成員帳號,然後再通過Cloud Firewall的多帳號統一管理功能,添加多個成員帳號,實現對成員帳號的集中管理。
步驟一:開通資來源目錄
請使用經過企業實名認證的阿里雲帳號開通資來源目錄。個人實名認證帳號不能開通資來源目錄。目前存在兩種開通資來源目錄的方式,使用不同的開通方式所獲得的管理帳號不同。具體操作,請參見開通資來源目錄。
步驟二:邀請成員
被邀請方成功加入資來源目錄後,會作為資來源目錄的成員,由資來源目錄統一管理。在添加委派管理員帳號時,可選擇被邀請的成員。具體操作,請參見邀請阿里雲帳號加入資來源目錄。
如果您沒有待邀請的成員帳號,也可以直接建立成員。具體操作,請參見建立成員。
步驟三:添加委派管理員帳號
通過委派管理員帳號,可以將組織管理工作與業務管理工作相分離,管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作,這符合安全最佳實務的建議。使用該委派管理員帳號訪問Cloud Firewall的多帳號統一管理模組,即可進行資來源目錄組織範圍內的管理操作。具體操作,請參見管理委派管理員帳號。
步驟四:新增成員帳號
在左側導覽列,選擇 。
在多帳號統一管理頁面,單擊新增成員帳號。
在新增成員帳號對話方塊中,選擇可匯入的成員帳號並添加到右側已選匯入Cloud Firewall成員帳號列表中。
在右側已選匯入Cloud Firewall成員帳號列表中,選擇目標成員帳號,單擊確定。
添加多個成員帳號後,您可以在成員帳號列表中查看各個帳號的UID、帳號名稱等資訊,可以刪除已添加的成員帳號。您也可以在防火牆開關功能下查看已添加的成員帳號下的雲資產,並對雲資產執行開啟或關閉保護的操作。
完成新增成員帳號後,預設授權Cloud Firewall可以訪問成員帳號下的雲資源。當VPC邊界防火牆防護的雲企業網下的網路執行個體是跨帳號開通的VPC時,需要您手動授權Cloud Firewall可以訪問該VPC所屬阿里雲帳號下的雲資源。詳細資料,請參見授權Cloud Firewall訪問雲資源。