针对拥有多个阿里云账号,且每个账号下都有云产品需要接入WAF防护的企业级客户,可通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为WAF管理员,使其可以访问资源目录下所有成员账号包含的云产品资源,从而实现WAF接入和防护配置的统一管理。本文介绍如何进行多账号统一管理。
使用限制
已开通Web应用防火墙(Web Application Firewall,简称WAF)企业版、旗舰版。其他版本不支持多账号统一管理。
管理账号和成员账号必须属于同一个资源目录,且必须为同一个企业实名认证主体。
管理账号已购买了中国内地的WAF实例,则成员账号不支持单独购买中国内地的WAF实例,但可以购买非中国内地的WAF实例。如果您的成员账号已存在运行中的WAF实例,请先释放实例,再进行多账号统一管理的相关步骤。
成员账号的云产品资产接入管理员账号的WAF实例后,仅支持在管理员账号的WAF控制台查看防护配置、总览和安全报表等功能。
管理员账号在WAF控制台删除成员时,系统会自动移除在管理员账号下进行防护的该成员账号的云产品资产。
配置流程
在使用多账号统一管理功能之前,您需要先开通资源目录、添加WAF委派管理员账号并邀请成员账号,再通过Web应用防火墙的多账号统一管理功能,添加多个成员账号,实现对成员账号云产品资产的集中管理。
步骤一:开通资源目录
使用多账号统一管理功能前,您需要将企业的多个阿里云账号汇总到一个资源目录。关于资源目录的详细介绍,请参见资源目录概述。
登录资源管理控制台,使用管理账号,开通资源目录。具体操作,请参见开通资源目录。
步骤二:邀请成员
被邀请方成功加入资源目录后,会作为资源目录的成员,由资源目录统一管理。在添加委派管理员账号时,可选择被邀请的成员。
登录资源管理控制台,使用管理账号邀请成员,搭建企业的组织结构。具体操作,请参见创建资源夹、邀请阿里云账号加入资源目录。
如果您没有待邀请的成员账号,也可以直接创建成员。具体操作,请参见创建成员。
步骤三:添加委派管理员账号
通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。使用该委派管理员账号访问Web应用防火墙的多账号统一管理模块,即可进行资源目录组织范围内的管理操作。具体操作,请参见管理委派管理员账号。
步骤四:添加成员账号
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击多账号统一管理。
在多账号统一管理页面,单击添加成员账号
在添加成员账号对话框中,选择可导入的成员账号并添加到右侧已选导入Web应用防火墙成员账号列表中。
在右侧已选导入Web应用防火墙成员账号列表中,选择目标成员账号,单击确定。
步骤五:接入成员账号的云产品资产
根据不同云产品资产,选择对应的接入方式
云产品资产 | 接入方式 |
ALB | 在成员账号的ALB控制台接入,接入后可在云产品接入ALB实例列表中查看。 |
CLB(HTTP/HTTPS) | 成员账号的CLB资产会自动同步到委派管理员账号,可在委派管理员的WAF控制台接入。 |
CLB(TCP) | 成员账号的CLB资产会自动同步到委派管理员账号,可在委派管理员的WAF控制台接入。 |
ECS | 成员账号的ECS资产会自动同步到委派管理员账号,可在委派管理员的WAF控制台接入。 |
MSE | 在成员账号的MSE控制台接入,接入后可在云产品接入MSE实例列表中查看。 |
FC | 在成员账号的FC控制台接入,接入后可在云产品接入FC实例列表中查看。 |
SAE | 在成员账号的SAE控制台接入,接入后可在云产品接入SAE实例列表中查看。 |