針對擁有多個阿里雲帳號,且每個帳號下都有雲產品需要接入WAF防護的企業級客戶,可通過阿里雲資源管理的可信服務功能,將多個阿里雲帳號匯總到一個資來源目錄(其中每個阿里雲帳號表示一個成員帳號),並委派特定的成員作為WAF管理員,使其可以訪問資來源目錄下所有成員帳號包含的雲產品資源,從而實現WAF接入和防護配置的統一管理。本文介紹如何進行多帳號統一管理。
使用限制
已開通Web Application Firewall(Web Application Firewall,簡稱WAF)企業版、旗艦版。其他版本不支援多帳號統一管理。
管理帳號和成員帳號必須屬於同一個資來源目錄,且必須為同一個企業實名認證主體。
管理帳號已購買了中國內地的WAF執行個體,則成員帳號不支援單獨購買中國內地的WAF執行個體,但可以購買非中國內地的WAF執行個體。如果您的成員帳號已存在運行中的WAF執行個體,請先釋放執行個體,再進行多帳號統一管理的相關步驟。
成員帳號的雲產品資產接入管理員帳號的WAF執行個體後,僅支援在管理員帳號的WAF控制台查看防護配置、總覽和安全報表等功能。
管理員帳號在WAF控制台刪除成員時,系統會自動移除在管理員帳號下進行防護的該成員帳號的雲產品資產。
配置流程
在使用多帳號統一管理功能之前,您需要先開通資來源目錄、添加WAF委派管理員帳號並邀請成員帳號,再通過Web Application Firewall的多帳號統一管理功能,添加多個成員帳號,實現對成員帳號雲產品資產的集中管理。
步驟一:開通資來源目錄
使用多帳號統一管理功能前,您需要將企業的多個阿里雲帳號匯總到一個資來源目錄。關於資來源目錄的詳細介紹,請參見資來源目錄概述。
登入資源管理主控台,使用管理帳號,開通資來源目錄。具體操作,請參見開通資來源目錄。
步驟二:邀請成員
被邀請方成功加入資來源目錄後,會作為資來源目錄的成員,由資來源目錄統一管理。在添加委派管理員帳號時,可選擇被邀請的成員。
登入資源管理主控台,使用管理帳號邀請成員,搭建企業的組織圖。具體操作,請參見建立資源夾、邀請阿里雲帳號加入資來源目錄。
如果您沒有待邀請的成員帳號,也可以直接建立成員。具體操作,請參見建立成員。
步驟三:添加委派管理員帳號
通過委派管理員帳號,可以將組織管理工作與業務管理工作相分離,管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作,這符合安全最佳實務的建議。使用該委派管理員帳號訪問Web Application Firewall的多帳號統一管理模組,即可進行資來源目錄組織範圍內的管理操作。具體操作,請參見管理委派管理員帳號。
步驟四:新增成員帳號
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,單擊多账号统一管理。
在多帳號統一管理頁面,單擊新增成員帳號
在新增成員帳號對話方塊中,選擇可匯入的成員帳號並添加到右側已選匯入Web Application Firewall成員帳號列表中。
在右側已選匯入Web Application Firewall成員帳號列表中,選擇目標成員帳號,單擊確定。
步驟五:接入成員帳號的雲產品資產
根據不同雲產品資產,選擇對應的接入方式
雲產品資產 | 接入方式 |
ALB | 在成員帳號的ALB控制台接入,接入後可在雲產品接入ALB執行個體列表中查看。 |
CLB(HTTP/HTTPS) | 成員帳號的CLB資產會自動同步到委派管理員帳號,可在委派管理員的WAF控制台接入。 |
CLB(TCP) | 成員帳號的CLB資產會自動同步到委派管理員帳號,可在委派管理員的WAF控制台接入。 |
ECS | 成員帳號的ECS資產會自動同步到委派管理員帳號,可在委派管理員的WAF控制台接入。 |
MSE | 在成員帳號的MSE控制台接入,接入後可在雲產品接入MSE執行個體列表中查看。 |
FC | 在成員帳號的FC控制台接入,接入後可在雲產品接入FC執行個體列表中查看。 |
SAE | 在成員帳號的SAE控制台接入,接入後可在雲產品接入SAE執行個體列表中查看。 |