企业多账号统一架构方案
方案概述
企业级统一账号架构设计是一种解决方案,可帮助客户根据阿里云最佳实践更快的设计企业的多账号环境。由于涉及到多个基础云产品,设置多账号可能需要大量时间,涉及到多个账号及服务的配置,并需要深入了解相关的服务。此解决方案可通过自动创建核心账号及资源实施初始化安全基准,来帮助节省时间。它还提供了一个在多账号环境中的财务管理模型,能够帮助客户快速判断使用哪种财务结算手段来管理云上费用问题。
方案优势
体系化管理多账号
通过规划多账号架构,可以将您企业多个云账号更体系地集中管理。明确每个账号的职责,方便业务更好的去使用云账号资源。
快速创建新账号
企业为了创新业务快速发展,需要快速创建新账号。通过本方案可以快速创建符合企业实名认证的资源账号。帮助企业更快速地去开展创新业务。
客户场景
结构化视角统一管理企业所有云上账号
场景描述
开通资源目录,新建或邀请存量账号进行统一管理。
适用客户
开通了RD,但不活跃的客户(主要)。
使用多账号上云的客户(次要),对这些账号有集中管理诉求,希望基于业务关系进行云资源的使用管理。
由单账号快速转换成多账号
场景描述
存量在跑的业务账号不建议当资源管理主账号。通过本方案可以快速创建一个新的空白账号来做资源管理主账号,从而将存量的云账号统一邀请进来纳管。
适用客户
单账号上云的客户,想使用多账号来发展新业务。
客户案例
客户背景
国内某通讯企业,在阿里云上有20+云账号,分别部署不同的业务单元。现在集团信管团队希望能够把这些云账号统一纳管,包括统一给账号制订合规规范,制订操作审计规范等。
客户痛点
在阿里云有20多个注册账号,分别在不同业务职能团队管理。集团很难统一管理这些分散出去的账号。想要做统一的账号权限限制也无从着手。另外随着新业务的开展,还会出现更多的云账号。统一管理摆在了信管团队当务之重。
客户收益
通过实施这个多账号统一架构方案,客户取得的收益:
使用资源目录产品,能够把分散在不同职能团队的账号收敛到同一个账号管理体系内。
使用管控策略,让集团信管团队统一去配置不同账号的管控策略。
开展新业务,对于账号这块能够集中到集团信管团队统一管理。
方案架构
本方案主要目的是指导企业客户完成多账号的搭建,指导企业客户在多账号场景下确定财务管理模式。
架构图
账号说明:
企业管理账号:用于管理多账号,统一配置多账号身份权限,统一查看各云账号账单,统一配置审计规则并下发到各成员账号。
安全账号:给企业的安全角色使用,会进行配置相关安全产品,如WAF、高防IP。
日志账号:聚合所有成员账号日志,统一收集,统一管理。
运维账号:部署运维相关工具,如统一监控平台、CMP、CMDB之类。
共享服务账号:企业共享服务会部署在这个账号内,如网络的部署。推荐这个账号的费用由统一的某个团队来承担,比如基础设施团队。
产品费用及名词
产品费用
本方案中用到的云产品:资源目录和云治理中心。国内站与国际站两套部署架构。
资源目录使用限制
具体限制,请查看产品帮助文档使用限制。
财务关系限制
财务管理:企业财务的一种财务管理模式,企业主账号可以管理子账号的资金余额、开票等业务。
财务托管:企业财务的一种财务管理模式,该模式下支持托管主账号为子账号代付,以实现统一结算、合并账单及发票的诉求。
属性 | 财务管理 | 财务托管 |
信控 | 主账号可选择同步阿里云信控身份给子账号。主账号可以对子账号划拨/回收信控 | 子账号无阿里云信控,开通虚拟quota |
预算管理 | 子:超预算欠费停机 | 无预算管控 |
结算关系 | 子账号->阿里云 | 主账号->阿里云 |
发票关系 | 子账号可自己开票,也可统一由主开票(开票信息为子的信息),但不支持主合并开票 | 阿里云开票给主账号,且支持合并开票 |
代金券 | 子账号可用代金券 | 子账号不可用代金券 |
实施步骤
实施准备
确定财务管理模型
如果选择财务托管,需要确定用哪个账号进行托管结算。
可以选择一个成员账号来做财务托管账号,建议跟公司财务人员共商一个账号。
确定资源管理主账号
梳理当前企业有哪几个云账号,确定使用哪个账号作为企业资源管理账号。
搭建Landing Zone前,系统会自动检查当前登录账号是否符合管理账号的要求。您可以根据检查结果,选择合适的管理账号,可参考文档检查账号资格。
实施时长
在实施准备工作完成的情况下,本方案实施预计时长:15分钟。
操作步骤
场景一:使用现有账号作企业资源管理账号
配置搭建项
登录云治理中心控制台。
在左侧导航栏,选择Landing Zone > Landing Zone搭建。
在Landing Zone搭建页面的选择蓝图区域,选择标准蓝图,然后单击搭建。
在配置蓝图页面的已添加搭建项区域,查看蓝图中已经添加的搭建项,您可以根据需要添加或删除搭建项。
单击添加搭建项,添加新的搭建项。部分搭建项存在依赖关系,需要同时添加。
单击已有搭建项旁边的
图标,删除不需要的搭建项。蓝图中必选的搭建项,不允许删除。
本示例中,仅保留创建资源夹、创建核心账号和防护规则三个必选搭建项。
创建资源夹
资源夹是资源目录中的组织单元,通常用于指代企业的分公司、业务线或产品项目等。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。您可以根据资源夹的用途进行资源分配、权限管理、安全管控、合规管控等治理工作。
根据最佳实践,建议您创建以下两个资源夹。当管理账号中不存在这两个资源夹时,云治理中心会为您自动创建:
Core资源夹:用于放置具有管控用途的成员。
Applications资源夹:用于放置开展具体业务的成员。
操作步骤:
您可以在已添加搭建项区域,单击创建资源夹,查看系统自动生成的如上两个资源夹。您可以修改资源夹名称。如果确定不需要的时候,也可以将其删除。除了自动创建的Core资源夹和Applications资源夹以外,您还可以在资源目录的目标节点下,单击新建资源夹,按照部门和业务环境等创建更细粒度的资源夹。
配置完成后,单击配置下一项。
创建核心账号
您可以根据企业已有的职能团队,创建对应的核心管理账号,有利于您后续进行资源分配、权限管理和安全合规管控等治理工作。
在创建核心账号区域的默认资源夹下拉列表中,选择核心账号归属的资源夹。本示例中,选择创建资源夹中创建的Core资源夹,即在Core资源夹下创建核心账号。
设置财务托管方式。
财务托管:财务托管是一项阿里云推荐的可选设置,启用以后您可以把所有账号的财务结算、分账等统一在此账号管理。
财务管理:相对财务托管,财务管理可以只指定部分财务能力使用统一账号管理。选用此方式各个账号默认使用自主结算方式,在搭建完成后,通过登录财务管理账号进行配置。详情参见邀请关联账号。
各账号自主结算:保持各账号自主结算,暂不设置财务统一的管理方式。
(可选)如果您选择了财务托管,那么您需要设置财务托管账号。您可以采用以下几种方式设置财务托管账号:
指定已有账号:指定当前管理账号或资源目录中的成员为财务托管账号。系统会自动判断资源目录的成员是否适合担任财务托管账号,根据判断结果,设置合适的财务托管账号。
说明:如果系统提示成员不满足要求,可能存在未完善财务信息等情况,请前往费用与成本完善。
新建账号:创建一个新的成员,指定其为财务托管账号。
邀请账号:邀请一个阿里云账号加入资源目录,指定其为财务托管账号。
指定核心账号。本示例中,将指定以下三个核心账号:
日志账号:用于统一收集所有成员的日志信息。默认启用,不能选择关闭。
共享服务账号:用于部署企业共享服务。默认启用,可以选择关闭。
安全账号:用于统一进行安全合规管控。默认启用,可以选择关闭。
对于每一类账号,您可以选择新建账号或指定已有账号。当您选择新建账号时,您需要配置账号基本信息。
单击配置下一项。
配置防护规则
您可以统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
在防护规则区域,查看并选中您需要的规则。关于防护规则的详情,请参见统一配置防护规则。
执行Landing Zone搭建任务
各项参数配置完成后,单击预览配置,检查各个搭建项配置。
检查无误后,单击开始执行。
查看执行状态,等待任务全部执行完成后,单击关闭。
Landing Zone蓝图搭建完毕后,点击添加搭建项,您可以按需添加云SSO等新的搭建项。
查看资源目录及账号结构
登录云治理中心控制台。
在左侧导航栏,单击账号结构。
在账号结构概览区域,查看账号结构的以下概览信息。
资源夹数量:展示资源目录中的资源夹数量。
云账号数量:展示资源目录中的云账号类型的成员数量。
资源账号数量:展示资源目录中的资源账号类型的成员数量。
财务托管账号:展示资源目录中的财务托管账号。
单击账号结构页签,查看资源目录的资源夹及成员账号信息。
单击账号列表页签,查看资源目录内的成员账号列表信息。
场景二:创建一个新账号作为企业资源管理账号
可参考文档开通资源目录中创建新的管理账号开通资源目录部分。
账号规划
假设企业有一个实名认证账号business-account,这个账号中运行相关业务,客户希望能够创建一个与business-account同实名认证的新账号management-account来做管理账号。
操作步骤
使用business-account登录资源管理控制台。
在左侧导航栏,选择资源目录 > 目录开通。
在右侧的最佳实践区域,单击创建新的管理账号。
在对话框中,输入自定义的管理账号名称。
设置管理账号安全手机号码,并单击获取验证码,填写安全手机收到的验证码。
单击开通。
对于新创建的管理账号,您需要通过密码找回功能,使用步骤6设置的手机号码设置登录密码,然后登录资源管理控制台管理资源目录。
通过以上步骤就可以创建出一个同实名认证的空账号management-account,然后通过management-account登录云治理中心。完成基础LandingZone搭建。具体步骤,参考场景一:使用现有账号作企业资源管理账号。
故障排除
如何将不同实名认证放到同一个资源目录?
默认是不支持,如果客户有需求可以联系阿里云工程师开通白名单。
什么样的账号不适合作为资源目录的管理账号?
账号下有待处理的邀请。建议:先处理邀请后再开通资源目录。
账号下已经有云资源部署了业务或应用。建议:由于管理账号将承载整个资源目录的架构管理、用户权限管控以及所有资源的付款结算等高权限操作,为了确保管理账号的安全,建议您创建一个新的阿里云账号作为管理账号,避免将已有用途的阿里云账号作为管理账号。
方案卸载
移除云账号类型的成员
当想要将资源目录从你账号中删除,那就需要将这个资源目录里面的账号先移除。你可以从资源目录中移除云账号类型的成员。
操作步骤
登录资源管理控制台。
在左侧导航栏,选择资源目录 > 概览。
单击资源组织或成员列表页签。
在成员列表中,单击目标云账号操作列的移除。
在移除对话框,单击确定。移除成功后,将产生以下影响:
该成员将作为独立的阿里云账号存在,不再被资源目录的管理账号管控,也不再受到资源目录任何管控策略的影响。
该成员的付款关系不会发生变化,如需更新当前账号的付款关系,请至财务系统处理。更多信息,请参见企业财务。
删除资源夹
当资源夹下不存在任何成员和子资源夹时,可以将其删除。资源夹删除后不可恢复,请慎重操作。
登录资源管理控制台。
在左侧导航栏,选择资源目录 > 概览。
单击资源组织页签。
在Root资源夹下,找到目标资源夹。
在右侧的资源夹页面,单击删除资源夹。
说明当资源夹下不存在任何成员和子资源夹时,才会显示删除资源夹按钮。
在删除资源夹对话框,单击确定。
关闭资源目录
当您不再需要使用资源目录服务时,可以将其关闭。此操作不可恢复,请您慎重操作。
关闭资源目录前,请确认已完成以下操作:
资源目录内所有成员已被移除。
资源目录内除Root资源夹外的资源夹已全部删除。
操作步骤
登录资源管理控制台。
在左侧导航栏,选择资源目录 > 设置。
单击关闭资源目录。