本文介绍账号组的概念、应用场景、使用限制,以及资源目录和账号组中成员账号变更对配置审计的影响。

概念

账号组是一组成员账号的集合。在一个资源目录中,企业管理账号可以选择所有或部分成员账号形成一个管理单元进行集中的合规管理,这个管理单元就是账号组。从资源维度上讲,账号组是多个成员账号中的资源汇聚而成的资源池。

企业管理账号可以查看账号组中所有成员账号中的资源列表、资源详情、资源配置时间线、资源合规时间线和关联资源,还可以在账号组中新建规则与合规包。这些规则和合规包将对该账号组中所有成员账号下的资源生效,进行持续地合规评估。

应用场景

企业管理账号可以将资源目录中的所有或部分成员账号加入到同一个账号组中。账号组作为一个跨账号合规管理的管理单元,对云上多个业务和阿里云账号的企业用户实现了集中地合规管理和数据采集。

账号组的具体应用场景如下:
  • 跨账号查看全局资源。企业管理账号可以查看账号组内所有成员账号的资源,还可以在资源列表筛选或搜索目标资源,并查看资源的详情和配置时间线。
  • 跨账号设置合规基线。企业管理账号可以在账号组中新建规则和合规包。这些规则和合规包对账号组内所有成员账号的资源生效,且成员账号不能对其执行修改和删除操作,实现企业管理账号对多个成员账号强制设置统一的合规基线。
  • 跨账号查看合规视图。企业管理账号可以查看每个成员账号中某条规则对资源的合规检查结果,也可以查看某条规则对多个成员账号中所有资源的合规检查结果,便于对多业务、多账号进行集中合规管理。
  • 跨账号收集资源数据。新建账号组之后,企业管理账号同时接管了成员账号的部分配置审计权限。企业管理账号可以设置统一的数据投递,将所有成员账号的资源配置历史数据投递到企业统一用于存储IT配置数据的企业管理账号或成员账号中,作为企业全局的数据管理中心。
  • 跨账号发送资源事件。企业管理账号可以设置将所有成员账号中的资源变更和资源不合规事件统一发送到消息服务MNS的主题中。
说明 如果您使用过企业版配置审计,则在账号组中默认出现一个包含资源目录中所有成员账号的账号组,且已有规则仍然有效。

使用限制

账号组的使用限制如下:
  • 目前仅允许资源目录中的企业管理账号新建账号组。新建的账号组中可以包括资源目录中的所有成员账号或部分成员账号。
  • 每个企业管理账号最多新建5个账号组,每个账号组中最多包含200个成员账号。

资源目录中成员账号变更对配置审计的影响

资源目录中成员账号变更,对配置审计的影响如下表所示。
操作 说明
新加入成员账号
  • 配置审计中的全局账号组感知该变更。资源目录中新加入的成员账号自动加入到全局账号组。
  • 配置审计中的自定义账号组不感知该变更。资源目录中新加入的成员账号不会自动加入到自定义账号组,需要企业管理账号手动添加。
修改成员账号归属的资源夹 配置审计不感知该变更。针对该变更配置审计不做任何处理。
移除成员账号 配置审计感知该变更。当您将某个成员账号移除资源目录时,企业管理账号失去对该成员账号的管理权限,该成员账号自动从所有账号组移除。

成员账号被加入账号组前后和被移除账号组的功能变化

成员账号被加入账号组前后和被移除账号组的功能变化,如下表所示。
分类 说明
未被加入任何账号组 作为独立阿里云账号使用配置审计。
被加入某个账号组
  • 如果成员账号未新建配置审计服务关联角色,则会自动新建。
  • 成员账号已有的规则和合规包会被保留。
  • 成员账号已设置的资源投递和资源事件通知自动被清空且剥夺设置权限,只能遵从企业管理账号的设置。
  • 成员账号在概览资源合规包规则菜单,看到当前账号和归属账号组页签。成员账号可以查看自己的资源,以及企业管理账号在账号组内新建的规则和合规包。成员账号不能修改规则和合规包,且查看规则与合规包详情时,只能看到自己的资源。
  • 账号组中已有的规则和合规包自动对成员账号生效。
被移除某个账号组
  • 成员账号在概览资源合规包规则菜单,不再看到当前账号和曾经归属的账号组页签。
  • 账号组中已有的规则和合规包对成员账号失效。
  • 成员账号的配置审计服务关联角色被保留。
  • 成员账号自己新建的规则和合规包被保留。
  • 资源投递和资源事件通知的历史配置自动被清空,成员账号重新获得设置资源投递和资源事件通知的权限。
  • 成员账号作为独立的阿里云账号使用配置审计服务,不受原有企业管理账号的管理。