组织规划

更新时间:

做好组织规划是上好云的基础,在上云之前应根据企业的实际情况做好相关的组织规划,包括企业上云的组织架构梳理、账号体系规划、权限体系规划等。

梳理组织架构

企业在上云之前需要做好组织架构梳理,建立和维护用云成本意识文化,组织用云成本管理活动和成本优化活动。组织管理活动因企业内部组织的不同而不同,可以有以下三种模式:

  • 集中式管理: 通过指定的团队集中管理和运营云环境和云资源,如集中管理财务运营、成本优化,并在全公司范围内推动最佳实践。比如成立云计算卓越中心(CCOE)团队,它也可以是企业内部的一个团队,还可以是一个由整个企业的关键财务、技术和组织利益相关者组成的新团队。

  • 分布式管理模式: 不同业务团队和技术团队分散管理云业务和用云成本,并支撑技术实现。

  • 混合管理模式: 集中式管理和分散式管理相结合,共同开展成本优化工作。可以根据成本优化目标(如工作量效率指标)来衡量职能部门的运行和交付能力。

确定组织架构后,需要将组织架构合理的反映到云的账号体系中,财务管理员等云上财务角色,使用财务工具进行资源管理。实现多组织跨部门的高效管理,云服务的精细化管理,经济型使用。

规划账号体系

账号不仅是资源的载体,更是企业组织架构的反映。财务管理与成本管理都依赖于账号结构,一个有效规划的账号体系能为成本管理带来更高的管理效率。

企业可以基于对业务的财务管控诉求,选择使用多账号或者共用一个账号来完成阿里云上的企业财务经营管理全链路。企业也可以根据业务场景,组合使用多种财务管控解决方案灵活的完成财务账号规划,比如多账号场景下,指定财务主账号对其他业务账号(财务子账号)进行管理,部分业务使用财务管理方案,部分业务使用财务托管方案,并结合财务单元分账方案完成成本分摊。

image.png

企业用户可以参照合适场景进行账号规划:

场景1 “财务管控机制”不可共用/复用:如果企业拥有多个业务(或项目),同时希望对指定的业务做独立的财务管控,比如,此业务的预算以及“停/复机管控机制”要与其他业务完全隔离;那么您可以创建多个账号,每个账号放1个业务,并将账号之间建立为财务管理关系;并可以通过跨账号财务管理解决方案下丰富的批量管理工具,实现独立管控诉求下的1个主账号批量运维多个子账号的高效用云。

场景2 仅“财务管控机制”可共用/复用:如果企业拥有多个业务(或项目),每个业务之间需要IT资源隔离,但财务管控上并不需要精细化到每个业务,比如希望所有的业务先做合并,合并后做1个总预算以及对总可用额度做停/复机管控,则可以创建多个账号,每个账号放一个业务,并将账号之间建立为财务托管关系;

场景3 “财务管控机制”以及“IT资源”均可共用/复用:如果企业拥有多个业务(或项目),每个业务所消耗的IT资源通过IT架构的调整就可做到跨业务复用/共用,所有的业务做合并后的财务管控;那么您需要评估是否能接受在IT资源复用/共用下产生的公摊费用,如果不能接受公摊费用,建议您参考场景2的跨账号财务托管解决方案;如果能接受公摊费用,那么您可以创建一个账号,所有业务共用此账号。

对于包含多组织架构的企业级用户,通过Landing Zone中对云上多账号结构进行规划,结合多组织财务管控方案进行多账号财务管理及成本管理。

权限体系规划

良好的身份和权限的规划能够确保只有授权的身份才能够在指定的条件下访问对应的云资源,明确身份并合理授权对于财务管理和成本管理十分重要。建议划分财务职能角色,降低管理成本,阻止未经授权的访问,保护云上资金和数据的安全。关于财务相关的身份及权限规划部分建议如下:

  • 规划财务管理角色:人员身份通常代表组织中的个人,从云上财务视角出发,建议规划财务管理员等云上财务角色。财务管理员负责对云上财务及成本进行统一管理,如财务关联关系配置、资金管理、统一结算、成本分摊等,该角色通常由企业财务团队或运维团队承担。

  • 避免使用Root身份:注册完一个阿里云账号后,即可通过用户名和密码的方式登录到阿里云控制台,登录成功后即获得Root身份,该身份具有该账号下所有的权限,一旦账号密码泄漏,风险极高。除极个别场景,应该尽可能的使用访问控制 身份进行财务操作,对身份及权限进行精细化管理。

  • 根据组织设置权限:建议将企业组织中日常运营身份与系统做好权限映射,保持权责一致原则。使系统权限与业务管理关系对应,减少运营成本。企业管理员可以授权二级管理员或下级管理员,企业管理员只做为管理职责,由被授权的管理员做业务管理。

  • 区分程序和人员身份:建议将程序和人员身份进行区分,便于进行权限管理及操作追溯。一些企业会通过程序拉取账单进行成本分析,该场景下应仅对程序身份授予账单读取权限。程序、人员身份共用的情况下,RAM用户所关联的权限需要包含所有身份的使用场景,可能导致权限扩大,一处泄漏会导致所有应用都受到影响,风险扩大,同时增加了泄漏后的止血难度。

  • 权限最小化:云上的权限管理的核心原则就是权限最小化,只给财务相关身份授予必要的权限,确保权限最小够用。对于财务管理相关身份,通过RAM仅授予财务工作职责相关的权限,阻止未经授权的资源访问。

更多身份及权限管理实践请参考安全合规支柱。