高效构建安全合规的企业新账号
方案部署
50
https://www.aliyun.com/solution/tech-solution/ecosacna
方案概览
当企业有新业务上线,一般会考虑部署在新的账号内。如果通过控制台注册新账号并完成账号内的安全合规基线配置往往周期较长且容易出错。利用账号工厂解决方案能够高效构建安全合规的新账号,在本方案中会介绍如何利用开源的IaC工具(Terraform)来快速创建安全合规的新账号。通过此方案可以统一企业内不同账号内的基线,灵活适配不同企业对账号初始化的个性需求。
方案架构
方案提供的默认设置完成部署后在阿里云上搭建的网站运行环境如下图所示。实际部署时您可以根据资源规划修改部分设置,但最终形成的运行环境与下图相似。
本方案的技术架构包括以下基础设施和云服务:
资源管理:利用资源管理中的资源目录可以快速创建一个企业实名认证的资源账号。
访问控制:给RAM用户分配AssumeRole及资源目录权限,可以利用这个RAM用户扮演到新账号内一个临时身份角色,利用这个临时身份完成新账号内基线配置。
专有网络:在账号内创建专有网络,为后续部署应用准备网络环境。
部署准备
10
开始部署前,请按以下指引完成账号申请、账号实名认证、RAM用户创建和授权。
准备账号
如果您还没有阿里云账号,请访问阿里云账号注册页面,根据页面提示完成注册。阿里云账号是您使用云资源的付费实体,因此是部署方案的必要前提。
为阿里云账号完成企业实名认证。只有通过企业实名认证的阿里云账号才能开通资源目录。
创建用于方案部署的RAM用户。
云服务
需要的权限
描述
资源目录RD
AliyunResourceDirectoryFullAccess
管理资源目录RD的权限
访问控制RAM
AliyunSTSAssumeRoleAccess
调用STS服务AssumeRole接口权限
准备环境
为了能够高效创建出新的云账号,需要先开通资源目录
登录资源管理控制台。
在左侧导航栏,选择 。
单击开通资源目录。
选择使用当前账号开通。
单击开通。
在安全校验对话框中,通过手机号码或电子邮箱完成安全验证,然后单击确定
创建两个资源文件夹(Core和Application)。
单击确定。
一键部署
30
一键部署基于阿里云资源编排服务ROS(Resource Orchestration Service)实现,ROS模板已定义好脚本,可自动化地完成云资源的创建和配置,提高资源的创建和部署效率。ROS模板完成的内容包括:
在资源目录下创建新实名认证账号
说明只有通过企业实名认证的阿里云账号才能开通资源目录。
给新创建的账号配置安全合规基线
操作步骤
打开一键配置模板链接前往ROS控制台,系统自动打开使用新账号创建资源栈的面板,并在模板内容区域展示YAML文件的详细信息。
说明ROS控制台默认处于您上一次访问控制台时的地域,请根据您创建的资源所在地域修改地域后再执行下一步。
确认好地域后,选择新账号需要创建到的资源目录资源夹,点击创建。
当资源栈信息页面的状态显示为创建成功时表示一键配置完成。
完成及清理
10
方案验证
完成了 账号创建之后,可以登录到这个新账号内进行相关配置的检查。
登录 资源目录控制台。
在左侧导航栏,选择 。
单击资源组织或成员列表页签。
在成员列表中,单击目标成员操作列的登入账号。
登录之后,管理账号内的RAM用户将扮演新账号内的RAM角色,可以查看账号内配置的相关合规基线。在本演示方案中涉及到的基线包括:
RAM账号,可以登录访问控制-身份管理,查看账号工厂新创建出来的RAM用户。
SSO配置,可以登录访问控制-集成管理,查看账号工厂新创建出来的SSO配置。
VPC配置,可以登录专有网络,查看账号工厂新创建出来的VPC资源。
清理资源
在本方案中,您创建了1个新账号。测试完方案后,您可以参考以下规则处理对应账号