配置DDoS原生防护实例的跨账号共用-DDoS防护-阿里云

针对企业用户拥有多个阿里云账号的场景，DDoS原生防护支持您在一个账号下购买实例，其他账号共用该实例，以降低您的采购成本，全面保护资产安全。本文介绍如何配置跨账号共用一个DDoS原生防护实例。

支持的实例类型

DDoS原生防护2.0（包年包月）企业版实例、DDoS原生防护2.0（后付费）实例

说明

多账号管理功能使用前需要审核，因此如需使用请联系商务经理。

账号类型介绍

使用多账号管理功能前，您需要先创建资源目录，资源目录中包含如下3种账号类型。关于资源目录的详细介绍，请参见什么是资源目录。

管理账号：使用管理账号开通资源目录，管理账号就是资源目录的超级管理员，对资源目录、资源夹和成员拥有完全控制权限。
委派管理员账号：管理账号可以将资源目录中的成员设置为委派管理员账号。委派管理员账号将获得管理账号的授权，可以访问资源目录组织和成员信息。
成员账号：您可以在资源目录中新创建成员账号，也可以通过邀请的方式将已有的阿里云账号加入到资源目录。

管理账号和委派管理员账号下购买的原生防护实例，均可以防护成员账号的公网IP资产。但通常建议您使用管理账号执行资源目录的组织管理任务，委派管理员账号执行业务管理任务，使组织管理任务与业务管理任务相分离，提高管理灵活性和高效性。

说明

配置完资源目录后，您还需要在流量安全控制台，将成员账号关联到管理账号或委派管理员账号，才能对成员账号的资产配置DDoS防护。

成员账号只能关联到管理账号、委派管理员账号的其中一个。
管理账号的原生防护实例，只能防护管理账号关联的成员账号的公网IP资产。委派管理员账号的原生防护实例，只能防护委派管理员账号关联的成员账号的公网IP资产。

注意事项

管理账号、委派管理员账号、成员账号必须属于同一个资源目录，且必须为同一个企业实名认证主体。
成员账号也可以单独购买DDoS原生防护实例，但同一个公网IP资产只能被一个DDoS原生防护实例进行防护。
例如，成员账号下的公网IP资产，已经被成员账号购买的DDoS原生防护实例进行防护，如果要使用委派管理员账号统一进行资产防护时，请先在成员账号下把该公网IP资产删除，再使用委派管理员账号的DDoS原生防护实例进行防护。
管理账号或委派管理员账号在流量安全控制台删除关联的成员账号时，防护的该成员账号的公网IP资产也会被自动移除，即管理账号或委派管理员账号的实例不再继续防护该公网IP资产。
每个主账号（管理账号或委派管理员账号）最多添加50个成员账号。

费用说明

成员账号下的公网IP资产，使用管理账号或委派管理员账号下的DDoS原生防护实例防护后，具体费用遵循如下原则：

DDoS原生防护2.0（包年包月）企业版实例：该实例为预付费实例，防护成员账号下的公网IP资产，不产生额外费用。
DDoS原生防护2.0（后付费）实例：该实例为后付费实例，防护成员账号下的公网IP资产，产生的费用由该实例所属的账号付费。

查看成员账号的公网IP资产的相关信息

使用管理账号或委派管理员账号的DDoS原生防护实例，防护成员账号的公网 IP 资产时，控制台上是否会显示该公网IP资产的统计数据，请参考以下表格。

不支持：表示统计的数据中不包含该公网IP资产。
支持：表示统计的数据中包含该公网IP资产。

控制台页面	管理账号/委派管理员账号	成员账号
总览	不支持	支持
资产中心	不支持	支持
事件中心	不支持	不支持
统计报表	支持	不支持
业务监控	支持	不支持
防护对象	支持	不支持
防护配置	支持	不支持
攻击分析	支持	不支持
防护日志	支持	不支持
操作日志	支持	不支持
云监控告警	支持	不支持
账单中心	支持	不支持

说明

以下操作步骤以使用管理账号执行资源目录的组织管理任务，委派管理员账号执行业务管理任务为例。如果您不需要设置委派管理员账号，即使用管理账号执行组织管理任务和业务管理任务，将以下步骤中委派管理员执行的操作，改为使用管理账号执行即可。

步骤一：开通资源目录并搭建企业的组织架构

使用多账号管理功能前，您需要将企业的多个阿里云账号汇总到一个资源目录。

在资源管理控制台，使用管理账号，开通资源目录。具体操作，请参见开通资源目录。
在资源管理控制台，使用管理账号，搭建企业的组织结构。您可以创建新的成员，也可以邀请已有的阿里云账号加入组织。
具体操作，请参见创建资源夹、创建成员和邀请阿里云账号加入资源目录。
在资源管理控制台，使用管理账号，将成员账号设置为委派管理员账号。具体操作，请参见管理委派管理员账号。

步骤二：将成员账号关联到委派管理员账号

您需要在委派管理员账号中关联成员账号，才能查看该成员账号的公网IP资产。

使用委派管理员账号登录流量安全产品控制台。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 多账号管理。
单击添加成员账号，仔细阅读对话框中的提示信息，单击下一步。
重要
添加成员账号后，委派管理员账号会被授权访问并获取成员账号的公网IP资产。
勾选您要添加的成员账号后，单击图标，然后单击确定。
添加完成后，您可以使用委派管理员账号的实例防护成员账号的公网IP资产。

步骤三：使用委派管理员账号的实例，防护成员账号的公网IP资产

您需要将成员账号的公网IP资产，添加到委派管理员账号实例的防护对象中，才能防护该公网IP资产。

重要

成员账号新增的DDoS防护（增强版）EIP，会自动添加到委派管理员账号的防护对象。如果成员账号之前开通了后付费实例且购买了DDoS防护（增强版）EIP，对于存量的DDoS防护（增强版）EIP，仍继续由成员账号防护，如需迁移到委派管理员账号防护，请按照以下步骤操作。

释放该DDoS防护（增强版）EIP。
停用成员账号的后付费实例。
重新在成员账号下购买DDoS防护（增强版）EIP。购买后会自动添加到委派管理员账号的防护对象。

使用委派管理员账号登录流量安全产品控制台。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
选择目标DDoS原生防护实例，单击添加防护对象后，单击成员账号资产添加页签。
选择成员账号，然后在待选择对象区域选择要防护的公网IP资产，单击图标，然后单击确认。

步骤四：为成员账号的公网IP资产配置防护策略

将成员账号的公网IP资产，添加到防护对象后，防护模版显示为默认，表示该公网IP资产使用的DDoS原生防护的默认防护能力。

如果您的业务要求放行或丢弃包含指定特征的业务流量，可以使用委派管理员账号登录流量安全控制台，为该公网IP资产绑定自定义的防护策略模板。具体操作，请参见防护配置。

步骤五：查看成员账号的公网IP资产受到的攻击事件

使用委派管理员账号登录流量安全产品控制台。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 攻击分析。
在攻击分析页面，选择账号范围，查看攻击事件的详情。
- 所有账号：包含管理账号的公网IP资产，也包含成员账号的公网IP资产。
- 委派管理员账号：仅查看该账号下的公网IP资产。
- 成员账号：仅查看该成员账号下的公网IP资产。