阿里云首页 IT治理样板间

概述

本手册为您介绍了最基本的阿里云账号初始化操作及基础环境搭建流程,其不包含任何业务系统,目的是通过定义基本的用户访问框架,并配合一些使用原则来保证账号的基础安全性。如果这个简单框架不能涵盖您的所有IT治理需求,您可以在此基础上根据自己企业的实际情况进行补充和裁剪。此外,我们还将针对更复杂的场景,推出面向大中型企业客户的IT治理整体解决方案,敬请期待。

引言

科技公司A是一家刚成立不久的互联网初创企业,在阿里云上购买资源开展业务。初期成员包括联合创始人CEO小张和CTO小王,公司下设产品、研发、销售、财务、HR等团队,其中产品和研发团队共计20人。CTO小王在阿里云注册了一个账号,以公司名义完成了实名认证,并将该账号交由研发团队2人整体负责云资源的运维,财务团队1人负责云资源的账单、发票处理等事宜,其他研发人员依据分工使用不同的云资源完成自己模块的开发与运维(即DevOps)。

作为初创企业,A公司自然而然将业务增长作为首要目标。然而,在云资源管理上,如果前期没有花一点时间做初步规划,随着公司成长壮大,风险也将随之而来。下面我们举几个例子:

  • 为了方便,CTO小王直接把阿里云账号转交给了两位运维负责人管理。

    潜在风险:该账号拥有云资源的所有权限,一旦发生密码泄露等事故,公司所有云上资产都将受到威胁。

  • 为了方便,运维负责人创建了若干公共账号给各团队使用。

    潜在风险:公共账号操作无法区分操作人员,也就无法进行有效的问题排查和故障修复。

  • 在为不同员工配置权限时,为了简化操作,都授予了系统管理员权限。

    潜在风险:随着资源规模越来越大,员工分工越来越细,这些早期的高权限用户可以访问自己本不该访问的资源,极易出现安全事故。

事实上,这些问题都不难解决。当您注册了一个新的阿里云账号之后,我们建议您不要立刻开始使用云上资源构建业务系统,相反,需要先花一点时间来进行一些初步配置,我们称之为IT治理基础环境搭建。这是为了保障您账号最基本的安全性、运维便捷性而进行的最小化配置。

我们建议每个企业都应该至少完成本手册所描述的基础环境搭建。但是,当您的企业规模扩展到一定程度,如拥有5人以上的云基础设施运维团队,超过50台ECS或其他资源,在云上同时运行超过5个研发项目,那么这些基础配置可能无法满足您企业的安全、合规、IT管理要求。我们将在后续解决方案中提供针对大中型企业的IT治理基础环境搭建最佳实践。

基础环境搭建

流程

基础环境搭建包含以下步骤:

  1. 完成云账号注册、实名认证等使用阿里云的基础操作

  2. 完成云账号安全加固,创建并授权用于管理操作的RAM用户,从而最大化减少云账号的使用

  3. 完成RAM配置,包括:

    1. 为系统管理员创建自定义权限策略

    2. 设置RAM用户密码强度

    3. 完成基本的用户组配置,方便后续RAM用户的授权

  4. 完成基本的网络配置,包括创建专有网络、安全组等

您可以通过控制台或代码完成基础环境的搭建:

架构图

完成上述操作后,您将会获得一个基础环境,如下图所示,其中带有浅蓝色阴影的模块是本手册将进行搭建的部分。在基础环境搭建完成后,您可以在此基础上进行业务系统的搭建。

样板间架构图

业务系统搭建

流程

接下来,您可以执行以下步骤,完成业务系统搭建:

  1. admin用户作为云上的最高权限用户,可以授权给运维总监等管理员使用。建议将其改名为相应人员名称,以免共用账号。

  2. 对其他核心运维人员,为其创建专属RAM用户,并加入CloudAdminGroup组,以获取对云上资源的完全访问权限。

  3. 对研发、测试等团队人员,为其创建专属RAM用户,并加入SystemAdminGroup组。如果您的团队有更详细分工,可以进一步创建诸如数据库管理员(DBA)、网络管理员等用户组并授予合适产品的权限,再将人员加入相应的组。

  4. 对财务人员,为其创建专属RAM用户,并加入BillingAdminGroup组,以获取云上财务、账单的相应权限。

  5. (可选)如果您的企业有统一的权限要求,例如:只允许从公司内网访问阿里云,您需要编写合适的自定义策略,并授权给CommonUserGroup组。如果SystemAdmin、DBA等用户组的成员也适用于这些要求,您可以将这些用户也加入到CommonUserGroup组,这些用户最终的权限将是其自身权限与其所属的所有用户组的权限的集合。

    具体的权限检查逻辑,请参见权限策略判定流程

  6. 为了使业务系统的程序可以访问阿里云账号,您需要给每个业务系统创建独立的RAM用户,授予需要的权限并创建访问密钥(AK)。

    注意:请不要在人员账号上直接创建AK给程序使用,以免员工离职、转岗时无法处理AK。

  7. 根据需要,您可以搭建基础的公网访问方式(如NAT网关)、负载均衡、对象存储、监控与备份系统等。

  8. 接下来,就可以各司其职,由合适的用户进行创建ECS、配置CDN等业务操作,以最终完成您的业务系统搭建工作。

  9. 您应该定期查看操作日志,或将操作日志投递到对象存储服务(OSS)或日志服务(SLS)中长期保存。详情请参见创建跟踪通过操作审计控制台查询事件

示例

下面,我们使用一个简单的例子来为您讲解如何搭建一个最简单的业务系统。下图是该业务系统的结构图,其名称为DemoSystem,使用者为研发团队的Alice。

示例

下面是大致步骤:

  1. 为Alice创建用户

    首先,需要admin用户为Alice创建一个RAM用户,并将Alice加入到SystemAdminGroup组。接下来,Alice将使用她自己的用户登录并开始搭建系统。

  2. 创建ECS服务器

    由于已经创建了VPC、交换机和安全组,Alice直接使用这些基础设施创建两台ECS即可。

  3. 配置负载均衡SLB

    1. 创建SLB(默认没有公网地址)

    2. 创建EIP并与SLB绑定

    3. 启动SLB的HTTP的监听(对外使用80端口,对后端服务器使用8080端口)

    4. 将上面的两台ECS加入SLB

  4. 配置数据库

    同样,在VPC、交换机和安全组基础之上,Alice只需要直接创建一个RDS实例,包含以下步骤:

    1. 创建一个RDS MySQL实例

    2. 创建一个高权限用户

    3. 创建一个数据库实例

  5. 部署业务代码

    接下来,就可以在ECS和RDS中部署您的业务代码,并对外提供服务了。如果这个DemoSystem系统需要访问您的其他阿里云资源,则您应该要求CloudAdminGroup组中的某个用户为DemoSystem创建一个新的RAM用户,为其创建一个AK,并授予DemoSystem所需要的权限。例如:DemoSystem需要访问对象存储OSS中的数据,详情请参见使用RAM对OSS进行权限管理。请特别注意保管好为DemoSystem创建的AK,避免泄露。详情请参见AK防泄露最佳实践