云防火墻支持通過阿里云資源管理的可信服務功能,將多個阿里云賬號匯總到一個資源目錄(其中每個阿里云賬號表示一個成員賬號),并委派特定的成員作為管理員,使其可以訪問資源目錄下所有成員賬號包含的資源,實現多個阿里云賬號的公網資產和VPC資產統一引流保護、策略配置、流量分析、入侵防護、攻擊防護、失陷感知、日志審計分析。本文介紹如何進行多賬號統一管理。
背景信息
隨著企業上云的進一步深入,越來越多的企業業務遷移至云端,企業購買的云資源迅速增多,資源、項目、人員、權限管理變得極其復雜,單賬號負載過重已無力支撐,多賬號上云模式逐漸成為多業務上云的重要選擇。企業用戶對于跨賬號的云資源具有集中化管理需求,主要體現在安全、審計合規、網絡、運維等產品。
在操作之前,您需要了解如下賬號信息:
賬號名稱 | 說明 | 開通資源管理的權限說明 | 開通云防火墻的權限說明 |
企業管理員賬號 | 企業管理賬號可以邀請資源目錄以外的阿里云賬號加入到資源目錄,作為資源目錄的成員,實現資源的統一管理。 | 擁有該企業所有資產的管理權限。 | 可以管理云防火墻上所有的資產。 |
委派管理員賬號 | 企業管理賬號可以將資源目錄中的成員設置為可信服務的委派管理員賬號。設置成功后,委派管理員賬號將獲得企業管理賬號的授權,可以在對應可信服務中訪問資源目錄組織和成員信息,并在該組織范圍內進行業務管理。 說明 通過委派管理員賬號,可以將組織管理任務與業務管理任務相分離,企業管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務。 | 擁有該企業所有資產的管理權限。 | 可以管理云防火墻上所有的資產。 |
成員賬號 | 被企業管理員賬號邀請,且成功加入資源目錄后,會作為資源目錄的成員。 | 成員賬號只可以管理本賬號的資產。 | 不允許購買云防火墻。 |
限制說明
包年包月各版本包含的多賬號管控數,請參見包年包月。
僅支持對成員賬號下的互聯網邊界防火墻、VPC邊界防火墻、NAT防火墻、DNS防火墻和安全正向代理防護的資產進行統一管理。
已統一管理的成員賬號將無法購買云防火墻,其資產流量也會被統一管理。
前提條件
已開通云防火墻高級版、企業版、旗艦版、按量付費版。
配置流程
在使用賬號統一管理功能之前,您需要先開通資源目錄、添加委派管理員賬號以及邀請成員賬號,然后再通過云防火墻的多賬號統一管理功能,添加多個成員賬號,實現對成員賬號的集中管理。
步驟一:開通資源目錄
請使用經過企業實名認證的阿里云賬號開通資源目錄。個人實名認證賬號不能開通資源目錄。目前存在兩種開通資源目錄的方式,使用不同的開通方式所獲得的管理賬號不同。具體操作,請參見開通資源目錄。
登錄賬號中心控制臺。在左側導航欄的實名認證頁面,查看您當前賬號是否為企業實名賬號。
步驟二:邀請成員
被邀請方成功加入資源目錄后,會作為資源目錄的成員,由資源目錄統一管理。在添加委派管理員賬號時,可選擇被邀請的成員。具體操作,請參見邀請阿里云賬號加入資源目錄。
如果您沒有待邀請的成員賬號,也可以直接創建成員。具體操作,請參見創建成員。
步驟三:添加委派管理員賬號
通過委派管理員賬號,可以將組織管理任務與業務管理任務相分離,管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務,這符合安全最佳實踐的建議。使用該委派管理員賬號訪問云防火墻的多賬號統一管理模塊,即可進行資源目錄組織范圍內的管理操作。具體操作,請參見管理委派管理員賬號。
步驟四:添加成員賬號
登錄云防火墻控制臺。
在左側導航欄,選擇。
在多賬號統一管理頁面,單擊添加成員賬號。
在添加成員賬號對話框中,選擇可導入的成員賬號并添加到右側已選導入云防火墻成員賬號列表中。
在右側已選導入云防火墻成員賬號列表中,選擇目標成員賬號,單擊確定。
添加多個成員賬號后,您可以在成員賬號列表中查看各個賬號的UID、賬號名稱等信息,可以刪除已添加的成員賬號。您也可以在防火墻開關功能下查看已添加的成員賬號下的云資產,并對云資產執行開啟或關閉保護的操作。
完成添加成員賬號后,默認授權云防火墻可以訪問成員賬號下的云資源。當VPC邊界防火墻防護的云企業網下的網絡實例是跨賬號開通的VPC時,需要您手動授權云防火墻可以訪問該VPC所屬阿里云賬號下的云資源。詳細信息,請參見授權云防火墻訪問云資源。