资源目录中的管理账号或委派管理员账号可以在配置审计控制台新建账号组,在账号组中集中地管理多个成员的资源、合规包和规则。建议您将需要遵从统一合规基线的成员添加到同一账号组,便于后续统一在账号组内新建一致的合规包和规则。
前提条件
您必须使用管理账号或委派管理员账号登录。
背景信息
您新建账号组之后,配置审计变化如下:
配置审计自动在概览、资源、合规包和规则菜单分别增加一个账号组页签。如果您新建多个账号组,则会增加多个账号组页签。多个账号组内可能会包含同一个成员,当您在多个账号组内查看同一个成员的资源和合规结果时,查看到的资源相同,查看到的合规结果可能因账号组内规则的不同而不同。
配置审计自动为每个账号组内的成员新建配置审计服务关联角色,该角色允许配置审计获取成员内资源的配置信息。
配置审计自动为每个成员构建资源列表,大约需要2~10分钟时间,请您耐心等待。
配置审计支持的账号组类型如下表所示。
账号组类型 | 说明 |
全局账号组 | 全局账号组包含的成员将自动与资源目录保持一致。管理账号或委派管理员账号选中全局账号组之后,该账号组会自动感知资源目录中成员的新增,并自动同步加入到该全局账号组中,确保合规管理的账号范围始终与资源目录保持一致。 每个管理账号或委派管理员账号只能新建一个全局账号组。 |
自定义账号组 | 管理账号或委派管理员账号新建自定义账号组时,主动从资源目录中选择所有或部分成员。当资源目录中新增成员时,自定义账号组并不会自动同步,需要管理账号或委派管理员账号手动将新增的成员加入到自定义账号组中。 当管理账号或委派管理员账号从资源目录中移除成员时,管理账号或委派管理员账号无权对该成员进行合规管理,自定义账号组自动感知该变化,并将该成员从自定义账号组中移除。 如果管理账号或委派管理员账号未选中全局账号组,则配置审计默认为自定义账号组,即使新建账号组时选择了资源目录中的所有成员,仍然是自定义账号组。 |
新建全局账号组
登录配置审计控制台。
在左侧导航栏,单击账号组。
在账号组页面,单击新建账号组。
在新建账号组页面,先设置账号组名称和描述,再选择账号组类型为全局。
单击提交。
在账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。您还可以查看目标账号组的名称、描述、成员数量、账号组类型和创建时间。
新建自定义账号组
登录配置审计控制台。
在左侧导航栏,单击账号组。
在账号组页面,单击新建账号组。
在新建账号组页面,先设置账号组名称和描述,再单击添加成员。
在资源目录中选中目标成员,单击确定。
单击提交。
在账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。您还可以查看目标账号组的名称、描述、成员数量、账号组类型和创建时间。