云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为管理员,使其可以访问资源目录下所有成员账号包含的资源,实现多个阿里云账号的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防护、攻击防护、失陷感知、日志审计分析。本文介绍如何进行多账号统一管理。
背景信息
随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。
在操作之前,您需要了解如下账号信息:
账号名称 | 说明 | 开通资源管理的权限说明 | 开通云防火墙的权限说明 |
企业管理员账号 | 企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录,作为资源目录的成员,实现资源的统一管理。 | 拥有该企业所有资产的管理权限。 | 可以管理云防火墙上所有的资产。 |
委派管理员账号 | 企业管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得企业管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 说明 通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。 | 拥有该企业所有资产的管理权限。 | 可以管理云防火墙上所有的资产。 |
成员账号 | 被企业管理员账号邀请,且成功加入资源目录后,会作为资源目录的成员。 | 成员账号只可以管理本账号的资产。 | 不允许购买云防火墙。 |
限制说明
包年包月各版本包含的多账号管控数,请参见包年包月。
仅支持对成员账号下的互联网边界防火墙、VPC边界防火墙、NAT防火墙和安全正向代理防护的资产进行统一管理。
已统一管理的成员账号将无法购买云防火墙,其资产流量也会被统一管理。
前提条件
已开通云防火墙高级版、企业版、旗舰版、按量付费版。
配置流程
在使用账号统一管理功能之前,您需要先开通资源目录、添加委派管理员账号以及邀请成员账号,然后再通过云防火墙的多账号统一管理功能,添加多个成员账号,实现对成员账号的集中管理。
步骤一:开通资源目录
请使用经过企业实名认证的阿里云账号开通资源目录。个人实名认证账号不能开通资源目录。目前存在两种开通资源目录的方式,使用不同的开通方式所获得的管理账号不同。具体操作,请参见开通资源目录。
步骤二:邀请成员
被邀请方成功加入资源目录后,会作为资源目录的成员,由资源目录统一管理。在添加委派管理员账号时,可选择被邀请的成员。具体操作,请参见邀请阿里云账号加入资源目录。
如果您没有待邀请的成员账号,也可以直接创建成员。具体操作,请参见创建成员。
步骤三:添加委派管理员账号
通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。使用该委派管理员账号访问云防火墙的多账号统一管理模块,即可进行资源目录组织范围内的管理操作。具体操作,请参见管理委派管理员账号。
步骤四:添加成员账号
登录云防火墙控制台。
在左侧导航栏,选择 。
在多账号统一管理页面,单击添加成员账号。
在添加成员账号对话框中,选择可导入的成员账号并添加到右侧已选导入云防火墙成员账号列表中。
在右侧已选导入云防火墙成员账号列表中,选择目标成员账号,单击确定。
添加多个成员账号后,您可以在成员账号列表中查看各个账号的UID、账号名称等信息,可以删除已添加的成员账号。您也可以在防火墙开关功能下查看已添加的成员账号下的云资产,并对云资产执行开启或关闭保护的操作。
完成添加成员账号后,默认授权云防火墙可以访问成员账号下的云资源。当VPC边界防火墙防护的云企业网下的网络实例是跨账号开通的VPC时,需要您手动授权云防火墙可以访问该VPC所属阿里云账号下的云资源。详细信息,请参见授权云防火墙访问云资源。