云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为管理员,使其可以访问资源目录下所有成员账号包含的资源,从而实现资源的统一管理。

前提条件

已开通云防火墙旗舰版。其他版本不支持统一账号管理。

限制说明

  • 统一账号管理功能默认支持添加1个阿里云成员账号。如需添加更多成员账号,您需要升级云防火墙规格,扩充多账号管控数。关于升级云防火墙规格的详细说明,请参见升级与变配购买多账号管控数
  • 仅支持对成员账号下的互联网边界防火墙资产进行统一管理。

步骤一:将当前阿里云账号设置为云防火墙委派管理员

您需要将当前阿里云账号设置为云防火墙委派管理员,才能在当前账号下添加成员账号,并进行统一管控。

您可以通过资源目录的企业管理账号,将资源目录中的成员账号设置为云防火墙的委派管理员账号。设置成功后,委派管理员账号将获得企业管理账号的授权,可以在云防火墙服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

  1. 使用企业管理账号登录资源管理控制台
    您可以将光标移至控制台界面右上角登录账号头像处,单击基本资料,打开账号中心的基本信息页面,查看您当前账号的实名认证是否为企业实名账号。企业实名账号
  2. 开通资源目录。
    1. 在左侧导航栏,选择资源目录 > 概览
    2. 概览页面,单击开通资源目录
    3. 开通资源目录对话框,单击确定
    开通资源目录后,当前登录账号将作为该资源目录的企业管理账号(主账号),默认具有资源目录的全部权限。
  3. 邀请成员。
    1. 在左侧导航栏,选择资源目录 > 邀请成员
    2. 邀请成员页面,单击邀请成员
    3. 邀请成员面板,填写目标成员的阿里云账号UID或登录邮箱、备注,确认并勾选风险提示。
      说明 此处邮箱是注册账号时的登录邮箱,而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请,使用英文逗号(,)分隔。
    4. 单击确认
    被邀请方成功加入资源目录后,会作为资源目录的成员,由资源目录统一管理。在添加委派管理员账号时,可选择被邀请的成员。
  4. 添加委派管理员账号。
    1. 在左侧导航栏,选择资源目录 > 可信服务
    2. 可信服务页面,单击目标可信服务操作列的管理委派管理员账号
    3. 添加委派管理员账号面板,选中成员账号。
    4. 单击确定
    添加成功后,使用该委派管理员账号访问对应可信服务的多账号管理模块,即可进行资源目录组织范围内的管理操作。

步骤二:成员账号登录云防火墙控制台时授权允许访问云资源

您必须完成允许云防火墙访问相关云资源的授权,才能正常使用云防火墙提供的服务。

  1. 使用成员账号登录云防火墙控制台
  2. 云防火墙服务关联角色对话框,单击确定
    说明 如果您已经创建过AliyunServiceRoleForCloudFW,则该对话框不会出现,您可以直接在控制台使用云防火墙。
    云防火墙服务关联角色
    您单击确定后,阿里云将自动为您创建云防火墙服务关联角色AliyunServiceRoleForCloudFW。
    您可以在RAM控制台RAM角色管理页面,查看阿里云为云防火墙自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForCloudFW后,您的云防火墙实例才能访问云服务器ECS、专有网络VPC、负载均衡、日志服务、堡垒机、云企业网、云安全中心、云数据库RDS等关联云服务的资源。AliyunServiceRoleForCloudFW
说明 有关授权的详细说明,请参见授权云防火墙访问云资源

步骤三:添加多个阿里云账号

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择设置 > 统一账号管理
  3. 统一账号管理页面,单击添加成员账号
  4. 添加成员账号对话框中,选择可导入的成员账号并添加到右侧已选导入云防火墙成员账号列表中。
  5. 在右侧已选导入云防火墙成员账号列表中,选择目标成员账号,单击确定
    添加成员账号
    添加多个成员账号后,您可以在成员账号列表中查看各个账号的UID、账号名称等信息,可以删除已添加的成员账号。您也可以在互联网边界防火墙页面查看已添加的成员账号下的云资产,并对云资产执行开启或关闭保护的操作。