使用配置聚合器为企业账户提供支持

准备工作

确保存在以下先决条件：

• 在企业顶层（即企业账户）创建一个 App Configuration 实例。
• 创建受信任的配置文件模板，为App Configuration服务实例提供对启用 IAM 的服务和帐户管理服务的访问权限。 请参阅以下章节，了解创建可信配置文件模板的步骤。
• 将受信任的配置文件模板分配给企业内所需的账户和账户组。 这将在所有选定的帐户中创建可信的个人资料。
• App Configuration 需要读取受信任的配置文件模板的权限。 在所有 IAM 账户管理服务上创建具有分配管理员访问权限的受信任配置文件，在企业服务上创建具有查看器访问权限的受信任配置文件。

应在企业的子账户中启用企业 IAM，以便通过企业进行管理。 确保启用此选项，或者您可以使用以下API进行修改。

curl -s -L -X PATCH "https://accounts.test.cloud.ibm.com/v1/accounts/$ACCOUNT/traits"
-H "Content-Type: application/json"
-H "Authorization: Bearer $TOKEN"
-d "{
    \"enterprise_iam_managed\": true
}"

如果将受信任的配置文件模板应用于账户组，那么以后添加的所有账户和账户组也将自动分配给受信任的配置文件模板。

创建政策模板

创建政策模板，以便在可信配置文件模板中使用。 对于配置聚合器功能，该策略需要访问具有 Reader, Viewer and ConfigReader 角色的 All IAM enabled services 和具有 Viewer and Config Reader 角色的 All Account Management services。

可以使用API或UI创建政策模板。

参考资料——

https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-policy-template-create&interface=api: https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-policy-template-create&interface=api

ui:

在模板中导航至“访问”选项卡，点击“添加”->“创建”。 定义名称和描述。 选择您希望分配访问权限的服务，并指定访问级别。

创建保单后，选择您想要的所有保单，然后点击添加。

创建的政策模板如下：

使用 IBM Cloud 服务实例创建可信个人资料模板，作为可信身份

为了创建一个以 IBM Cloud实例为可信身份的可信配置文件模板，您需要使用API。 同时确保使用 type: crn 进行身份验证。 详情请参见：https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=api#create-trusted-profile-template-api

用于创建可信配置文件模板的有效载荷：

POST https://iam.cloud.ibm.com/v1/profile_templates

{
  "account_id": "c1d20fee2fe24c42b8ef6583283d2dcf",
  "name": "Configuration Aggregator Template",
  "description": "Trusted profile template for Config Aggregator to collect resources from services",
   "profile": {
        "name": "Configuration Aggregator",
        "description": "Trusted Profile to collect resources via Config Aggregator",
        "identities": [
          {
            "type": "crn",
            "identifier": "crn:v1:bluemix:public:apprapp:us-south:c1d20fee2fe24c42b8ef6583283d2dcf:8abc9e31-5e7e-4154-b2d1-e963ee8a85a2::",
            "description": "App Configuration Dev instance in Enterprise account"
          }
        ]
    },
    "policy_template_references": [
      {
        "id": "policyTemplate-1362f690-8e7f-4a0a-bf72-bb8e5a0008c5",
        "version": "1"
      },
      {
        "id": "policyTemplate-2ba51f58-7b02-47ba-a707-1916d4650cbf",
        "version": "1"
      }
    ]
}

identities.identifier 指的是为配置聚合器配置的App Configuration实例 CRN。 policy_template_references.id 指的是上一步创建的策略模板的 id。

创建模板后，它将显示为草稿模式。

提交模板

一旦我们掌握了所有细节，例如政策和身份信息，您就可以进行更新、审核并标记为已提交。

将账户分配给模板

模板提交后，即可用于作业。 为此，您可以使用用户界面或应用程序接口。 您只能为已启用 enterprise_iam_managed 的账户分配任务。

• 应用程序接口 https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=api#assign-trusted-profile-template-api
• 用户界面 https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=ui#assign-trusted-profile-template-api

分配完成后，将在所有子账户中创建受信任配置文件。 可以通过检查显示受信任配置文件由企业管理的账户来验证。

配置聚合器

使用 设置API 配置配置聚合器。 更多详情，请参阅 API 文档。