配置聚合器
配置聚合器可用于将 IBM Cloud 资源的最新配置数据集中在一处,为云治理 SME 提供便利,从而为治理和合规性计划提供全面的信息。 除精简版计划外,App Configuration 服务的所有计划都将提供配置聚合器功能。 作为应用程序所有者,用户必须明确启用配置聚合器。 可以通过 API、SDK 或仪表板在 App Configuration 实例上完成。 App Configuration 服务将启动资源收集,并定期通过调节保持元数据的最新状态。 用户可以使用查询 API 获取账户中服务实例的最新元数据。
配置聚合器功能可配置在企业账户级别的 App Configuration 实例上,以便从企业的所有子账户收集资源元数据。 应创建一个受信任的配置文件模板,允许所有启用 IAM 的服务访问 App Configuration 服务实例。 然后,应将受信任的配置文件模板分配给企业中的所需账户,进而在相应的子账户中创建受信任的配置文件,提供对 App Configuration 服务实例的访问,以收集资源元数据。
默认情况下,记录始终设置为关闭。
与 Security and Compliance Center 工作负载保护一起使用的配置聚合器
配置聚合器是 Security and Compliance Center Workload Protection 用来对 IBM Cloud 资源执行云安全态势管理 (CSPM) 的数据源。 在工作负载保护中配置 IBM Cloud CSPM 时,启用聚合的 App Configuration 实例会自动连接到工作负载保护。 如上所述,您确实需要明确启用录音功能。 通过工作负载保护创建的 App Configuration 新实例默认配置为基本计划。 基本计划内的聚合是免费的,不会增加工作量保护的成本。
启用配置聚合器 - 单账户
要启用配置聚合器,请完成以下步骤:
-
在 App Configuration 控制台中,单击 配置聚合器。
-
单击 定义聚合。 打开侧面板,其中有用于设置录音细节的字段。
*设置录音 - 单个 -
从 所有地区 列表中选择 地区 或特定区域。 单击 保存完成。 这将在 App Configuration 实例上创建一个受信任的配置文件,该配置文件具有读取资源配置的阅读器访问权限。
-
单击切换按钮启用录音。 它会要求确认。 单击 打开按钮。
*启用记录 - 单个
启用配置聚合器 - 企业账户
要为企业账户启用配置聚合器功能,用户必须完成以下前提条件:
-
在企业顶层(即企业账户)创建 App Configuration 实例。
-
创建可信配置文件模板,为 App Configuration 服务实例提供对启用 IAM 的服务和帐户管理服务的访问权限。 参考 这里
{: caption="受信任的配置文件模板 - 企业账户 受信任的配置文件模板 - 企业" caption-side="bottom"}
受信任的配置文件模板不能分配给企业账户,即企业的顶级账户。 如果选择收集企业账户中资源的元数据,则应创建一个单独的受信任配置文件,该配置文件应另外应用于顶级账户。
- 将受信任的配置文件模板分配给企业内所需的账户和账户组。
应在企业的子账户中启用企业 IAM,以便通过企业进行管理。 有关详细信息,请参阅 此处
要为企业账户启用配置聚合器,请完成以下前提条件和步骤:
-
在 App Configuration 控制台中,单击 配置聚合器。
-
单击 定义聚合。 打开侧面板,其中有用于设置录音细节的字段。
{: caption="设置录制 - 企业账户 设置录制 - 企业" caption-side="bottom"} -
提供设置记录的详细信息:
- Region- 用户希望收集配置数据的区域。
- Enterprise ID- 企业帐户 ID。
- 受信任模板 ID- 作为前提条件创建的受信任配置文件模板 ID。
- 受信任的配置文件 ID- 作为前提条件创建的受信任的配置文件 ID。
-
单击保存。
-
单击切换按钮启用录音。 它会要求确认。 单击 打开按钮。
{: caption="启用记录 - 企业帐户启用记录 - 企业" caption-side="bottom"}
检索资源元数据
我们可以使用列表 API 查询 IBM Cloud 资源的配置。 当 App Configuration 实例启用配置聚合器时,它将提供资源的详细元数据。
有关详细信息,请参阅 此处。
配置聚合器支持的服务列表
配置聚合器支持以下服务: