服务资费_资源管理服务 RMS_产品介绍_华为云

资源管理服务

产品介绍

文档版本 01

发布日期 2021-09-24

版权所有 © 华为技术有限公司 2021。 保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传 播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声 明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

目 录

1 图解资源管理服务... 1

2 什么是资源管理... 3

3 基本概念...5

4 功能总览...6

5 服务资费...8

6 与其他服务的关系... 9

7 权限管理...11

8 修订记录...13

产品介绍 目 录

1

^{图解资源管理服务}

产品介绍 1 图解资源管理服务

产品介绍 1 图解资源管理服务

2

^{什么是资源管理}

简介

资源管理服务（Resource Management Service，以下简称“RMS”）为用户提供进 行全局资源管理的能力，用户可以通过RMS来检索、转储、评估自己在云平台上的资 源，实现云平台上的最佳安全实践。

产品架构

您可以使用RMS查看您所拥有的资源有哪些；可以查看资源详情、资源之间的关系、

资源历史；RMS会在资源变更时发送消息通知给您，并定期（6小时）对您的资源变更 消息进行存储；RMS还会定期（24小时）对您的资源进行存储；您还可以通过配置合 规规则来对您的资源进行合规性检查

● 查看资源详情：RMS会索引您在云平台上的所有资源信息，为您提供丰富的检索 功能。

● 查看资源关系：RMS会建立资源之间的关系状态，帮助您查看资源之间的关联关 系。

● 查看资源历史：您可以通过开启、配置资源记录器，来持续跟踪资源的变更历 史。

● 发送消息通知：您在开启资源记录器并成功配置消息通知（SMN）后，RMS会推 送资源变更的消息给您。

● 资源变更消息转储：您在开启资源记录器并成功配置消息通知（SMN）和对象存 储桶（OBS）后，RMS会定期（6小时）对您的资源变更消息进行存储。

● 资源转储：您在开启资源记录器并成功配置对象存储桶（OBS）后，RMS会定期

（24小时）对您的资源进行快照并存储。

● 资源评估：RMS提供合规扫描，帮助您自动化地检查资源的合规性。

产品介绍 2 什么是资源管理

图2-1 资源管理服务产品架构图

访问方式

通过管理控制台、基于HTTPS请求的API（Application Programming Interface）两种 方式访问资源管理服务。

● 管理控制台方式

管理控制台是网页形式的，您可以使用直观的界面进行相应的操作。登录管理控 制台，从主页右上方选择“资源”下的“我的资源”。

● API方式

如果用户需要将云平台上的资源管理服务集成到第三方系统，用于二次开发，请 使用API方式访问资源管理服务，具体操作请参见《资源管理服务API参考》。

产品介绍 2 什么是资源管理

3

^基本概念

资源

资源是用户可以在云平台上使用的一种实体。例如：弹性云服务器（ECS）实例、云硬 盘（EVS）磁盘、虚拟私有云（VPC）实例等。

资源管理服务（RMS）支持的资源类型和区域参阅支持的服务和区域。

资源关系

资源关系记录了您在云平台上的不同资源之间的关联情况。例如：云硬盘与云服务器 之间的绑定关系，云服务器与虚拟私有云之间的归属关系等。

您可以参阅 支持的资源关系来了解目前支持的华为云资源关系的完整列表。

资源历史

资源历史是过去某段时间内资源不同状态的集合。

资源发生任何属性的变化和资源关系的变化，都会在资源历史中生成一条记录，该记 录会包含此时资源的属性和资源的关系。

您可以通过控制台或API访问资源历史。

资源记录器

资源记录器是用来跟踪您在云平台上的资源变更情况。当资源被创建、修改、删除，

以及资源关系发生变化时，向您发出通知，同时它还可以对您的资源变更消息和资源 快照进行定期转储。

资源合规性

资源合规特性帮助您快速创建一组合规规则，用于评估您的资源是否满足合规要求。

产品介绍 3 基本概念

4

^功能总览

表4-1列出了资源管理服务的常用功能。

在使用资源管理服务之前，建议您先了解资源管理服务的基本概念，以便更好地理解 资源管理服务提供的各项功能。

表4-1 资源管理服务常用功能

功能分类 功能名称 功能描述 我的资源 查看所有资源

列表

查看当前帐号下所有有权限的资源。包含资源的名 称、所在区域、所属服务、资源类型、所属企业项 目。

查看单个资源 详情

查看当前帐号下某个具体资源的资源详情。包含资 源的名称、创建时间、规格等。

筛选资源 通过设置筛选条件（资源名称、资源ID、标签、企 业项目）快速筛选出所需要的资源。

导出资源列表 导出所需资源列表csv格式文档。

查看资源关系 查看资源之间的关联关系。

查看资源历史 查看资源的变更历史。

资源记录器 开启资源记录 器

开启资源记录器后，才可以跟踪资源的变更情况。

配置资源记录 器

配置资源监控范围、消息通知主题、内容转储，并 授权资源记录器调用消息通知服务（SMN）发送 通知的权限和对象存储服务（OBS）的写入权限。

修改资源记录 器

可以修改资源记录器的相关配置。如：监控范围、

消息通知主题、内容转储等。

资源合规 添加规则 添加资源合规规则后，方可进行资源合规评估。可 设置合规策略类型、合规策略的规则参数等。

立即评估 资源合规规则创建后，如果您需要立即启动规则评 估，可以使用“立即评估”。

产品介绍 4 功能总览

功能分类 功能名称 功能描述

停用规则 如果您不再需要某项资源合规规则，您可停用此规 则。

编辑规则 如果当前合规规则不再适用，您可以编辑此规则，

修改规则参数等。

删除规则 如果当前合规规则不再适用，您还可以删除此规 则。

云审计-记录 资源管理

支持云审计的 关键操作

通过云审计服务，您可以记录与资源管理服务相关 的操作事件，便于日后的查询、审计和回溯。

如何查看审计 日志

介绍如何在云审计服务管理控制台查看或导出最近 7天的资源管理操作记录。

产品介绍 4 功能总览

5

^服务资费

目前在公测期间，资源管理服务暂不收取任何费用，但如果您配置了资源记录器，那 么资源记录器使用的消息通知服务（SMN）或对象存储服务（OBS）可能会产生相应 的费用。

产品介绍 5 服务资费

6

^{与其他服务的关系}

资源管理服务与周边服务的关系如图6-1 所示。

图6-1 资源管理服务与其他服务的关系

表6-1 资源管理服务与其他服务的关系

服务名称 说明 交互功能 相关内容

消息通知服 在配置资源记录器 资源发生变更时，向用户发 开启/配置/修

产品介绍 6 与其他服务的关系

服务名称 说明 交互功能 相关内容 对象存储服

务（OBS） 在配置资源记录器 时，需要配置资源转 储（OBS桶）。

● 资源记录器会定期（6小 时）将资源变更的消息存 储到您配置的OBS桶中

（同时需配置SMN主 题）；

● 资源记录器还会定期

（24小时）将资源快照 文件转储到您配置的OBS 桶中。

统一身份认 证服务（IAM）

在配置资源记录器

时，需要委托授权。 授权RMS调用SMN发送通知 权限，以及OBS的写入权 限。

云审计服务

（CTS） - 通过云审计服务，可以记录

与资源管理服务相关的操作 事件，便于日后的查询、审 计和回溯。

云审计-记录资 源管理

产品介绍 6 与其他服务的关系

7

^权限管理

如果您需要在使用华为云上的资源管理服务时，给企业中的员工设置不同的访问权 限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、

权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。

通过IAM，您可以在华为云帐号中给员工创建IAM用户，并使用策略来控制员工对华为 云资源的访问范围。例如您希望部分员工拥有配置资源记录器的权限，那么您可以使 用IAM为员工创建用户，通过授予配置资源记录器的权限策略，控制员工对资源管理 的使用范围。

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您 可以跳过本章节，不影响您使用资源管理服务的其它功能。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。

RMS 权限

所有用户均有查看“我的资源”页面的权限，但具体展示的资源由用户当前所拥有的 资源权限决定。关于用户资源权限的相关说明，请查看资源权限。

在“资源记录器”页面，用户如果需要进行资源记录器的开启、关闭、以及修改配 置，需要被授予一定的权限。

默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授 予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。

授权后，用户可以基于已有权限进行对应的操作。

如表7-1所示，包括了RMS的所有系统权限。

表7-1 RMS 系统权限

产品介绍 7 权限管理

表7-2列出了RMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权 限。

表7-2 常用操作与系统权限的关系

操作 RMS FullAccess RMS ReadOnlyAccess

查看资源记录器 √ √

创建和修改资源记录器 √ x

删除资源记录器 √ x

查看合规策略定义 √ √

更新合规规则 √ x

创建合规规则 √ x

查看合规规则 √ √

删除合规规则 √ x

查看合规规则结果 √ √

触发合规规则评估 √ x

查看资源历史 √ √

资源权限

用户在“我的资源”页面中能看到的资源，取决于用户的资源权限。

用户所拥有的权限策略主要包括两个部分：IAM的鉴权策略和企业管理的鉴权策略。

当用户尝试读取资源列表时，首先会判断用户是否属于admin用户组，如果用户属于 admin用户组，则拥有所有资源的权限；然后获取用户的IAM及企业管理策略，当IAM 和企业管理策略相互之间有冲突时，以IAM中设置的优先；当Deny和Allow策略相互之 间有冲突时，以Deny策略优先。

关于IAM和企业管理的区别，详情请见IAM和企业管理的区别。

关于用户组的创建与授权，详情请见创建用户组并授权。

在用户组的创建过程中，如果系统策略不能满足要求，管理员可以创建自定义策略。

自定义策略可通过可视化视图及JSON视图两种方法配置，具体操作方法请见创建自定 义策略。

产品介绍 7 权限管理

8

^修订记录

版本日期 变更说明

2021-08-19 第四次正式发布。

新增：图解资源管理服务章节。

2020-12-28 第三次正式发布。

更新与其他服务的关系章节：新增云审计服务CTS。

2020-12-14 第二次正式发布。

新增：“资源变更消息转储”特性。

2020-11-30 第一次正式发布。

产品介绍 8 修订记录