资源目录中的管理账号或委派管理员账号可以在配置审计控制台创建账号组,在账号组中集中地管理多个成员的资源、合规包和规则。建议您将需要遵从统一合规基线的成员添加到同一账号组,便于后续统一在账号组内创建一致的合规包和规则。
前提条件
您必须使用管理账号或委派管理员账号登录。
请确保您已开通资源目录。具体操作,请参见开通资源目录。
请确保您已在资源目录中创建成员或邀请成员。具体操作,请参见创建成员和邀请阿里云账号加入资源目录。
背景信息
您创建账号组之后,配置审计变化如下:
配置审计自动在概览、资源、合规包和规则菜单分别增加一个账号组页签。如果您创建多个账号组,则会增加多个账号组页签。多个账号组内可能会包含同一个成员,当您在多个账号组内查看同一个成员的资源和合规结果时,查看到的资源相同,查看到的合规结果可能因账号组内规则的不同而不同。
配置审计自动为每个账号组内的成员创建配置审计服务关联角色,该角色允许配置审计获取成员内资源的配置信息。
配置审计自动为每个成员构建资源列表,大约需要2~10分钟时间,请您耐心等待。
配置审计支持的账号组类型如下表所示。
账号组类型 | 说明 |
全局账号组 | 全局账号组包含资源目录中的所有成员,能自动感知并同步资源目录中成员的变更。 管理账号或委派管理员账号只能创建一个全局账号组。 |
自定义账号组 | 管理账号或委派管理员账号创建自定义账号组时,可以从资源目录中选择所有或部分成员。 当资源目录中新增成员时,自定义账号组不会自动同步,需要管理账号或委派管理员账号手动将新增的成员加入该账号组。 当从资源目录中移除成员时,管理账号或委派管理员账号无权对该成员进行合规管理,自定义账号组自动感知该变化,并将该成员从自定义账号组中移除。 |
资源夹账号组 | 管理账号或委派管理员账号选择某个资源夹创建账号组之后,该账号组自动感知并同步资源夹中成员的变更,资源夹账号组中的成员始终与资源夹保持一致。 管理账号或委派管理员账号每次创建资源夹账号组时,只能选择一个非空的资源夹。 |
操作步骤
本文以创建自定义账号组为例进行介绍。
登录配置审计控制台。
在左侧导航栏,单击账号组。
在账号组页面,单击创建账号组。
在创建账号组页面,先设置账号组名称和描述,再选择账号组类型为自定义,然后从资源目录中选择成员。
单击提交。
在账号组列表中,目标账号组的状态为应用中,说明创建账号组成功。
后续操作
创建账号组成功后,您可以先在配置审计的左上角选择目标账号组,再执行以下操作: