安全架构基础
建议您根据职能、合规要求或者统一的管控策略,将不同的业务或应用分配到不同的独立账号中。借助账号间的天然隔离性,使用多个账号实现企业不同业务或应用间的相互独立。例如,生产环境应用与开发/测试环境应用通过账户级隔离实现严格分离。
集中化账号管理:资源目录可自动化阿里云账号的创建与管理,并在账号创建后持续对其进行管控。同时您可以通过资源夹将账号归类分组,以实现企业的业务或应用根据其用途和需求进行逻辑划分。
集中化访问控制:使用资源目录管控策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则,确保安全合规和成本可控。例如:禁止成员申请域名、禁止成员删除日志记录等。
集中化服务与资源配置:资源目录的多账号架构支持您跨账号统一配置阿里云服务。例如,您可以通过操作审计记录整个组织内所有操作日志。您也可以通过配置审计集中聚合合规规格的数据,实时监控业务合规性并快速响应。
委派管理:通过委派管理功能,使用可信服务的委派管理员账号,在可信服务中基于组织进行业务管理,简化企业对云服务的统一管理,同时将服务管理账号与其他账号分离,减少管理账号的直接暴露风险,提升安全性。
如此,企业可构建安全、高效且可扩展的阿里云多账户治理框架,为复杂云环境下的业务增长提供坚实基础。