面向分销场景多账号统一管控方案
越来越多的分销场景客户需要做LZ方案,面对分销场景如何设计8个模块的解决方案。本方案会介绍在分销场景下,如何规划最小账号体系,在此基础上介绍完整的多账号管理。
方案概述
伙伴在给客户进行项目交付是需要生态伙伴平台APS在流程上的支撑,在生态伙伴平台报备之后才能有效统计服务佣金。但是由于目前生态伙伴平台对于账号存在一些限制,在Landing Zone交付过程中经常会遇到一些问题,比如客户账号搭建了多账号架构之后在生态伙伴平台APS中无法进行项目报备,基于财务托管搭建多账号架构之后无法收到佣金等。
因为在分销场景中涉及到生态伙伴平台的规则:
- 分销账号无法创建成员账号
- 伙伴的佣金与分销账号中的消费账单强关联
所以标准的Landing Zone解决方案在资源和财务模块设计上需要进行特殊设计,才能高效完成项目交付。
本文档介绍了一套符合阿里云分销伙伴规则的Landing Zone搭建方案,主要解决资源规划、财务管理搭建过程中的常见问题。
方案优势
基于分销账号搭建RD子账号
帮助规避生态伙伴平台APS引入的账号生成限制,集中管理APS分销账号,快速搭建符合生态规则的Landing Zone框架。
财务关系符合伙伴佣金机制
在新的Landing Zone框架下,规范账号之间的财务关系,确保伙伴能够获得在生态伙伴平台APS中的标准服务佣金。
客户场景
分销场景下搭建Landing Zone
场景描述
在分销账号中为客户搭建Landing Zone框架经常会遇到一些问题,比如客户账号搭建了多账号架构之后在生态伙伴平台APS中无法进行项目报备、基于财务托管搭建多账号架构之后无法收到佣金等。
适用客户
- 需要进行分销场景交付Landing Zone的伙伴
客户案例
客户背景
客户是某老牌外资公司X,公司的主要业务是面向全球市场生产/销售酒精饮料和软饮。从公司创立之初至今,已经有着数十年的发展历程,在全球范围内都具备非常高的品牌知名度。
客户诉求
客户旗下有多条业务线,其中旧业务线已经通过伙伴完成业务上云。客户有计划寻找阿里云生态伙伴把新业务线搬到云上。同时希望伙伴能够搭建一套完善的云上架构,在不影响已有云上业务的正常运行的前提下,对云上的新老账号进行统一管理。
实施方案
- 使用APS系统生成客户账号。
- 使用资源目录邀请客户账号,搭建多账号架构。
- 使用“自主结算”方式配置财务关系。
客户收益
通过实施这个分销场景下的多账号管控方案,客户取得的收益是:
- 搭建统一的账号管理体系,纳管老账号,扩展新账号,保障公司业务稳定发展。
- 与生态伙伴的合作模式更加清晰,合作更加紧密。
- 统一账号体系下,集团信管团队可以统一对不同业务配置相应的管控策略
方案架构
统一账号来源
在分销场景下,资源目录中所有账号都通过生态伙伴平台APS报备生成的分销账号,通过资源目录RD里面的成员邀请加入到资源目录RD中进行统一管理。由于APS系统限制客户报备上限为5个(突破限制方式参考“注意事项”内容),建议在业务维度进行租户隔离。如需在业务内部进一步隔离,建议通过资源组/VPC方式进行操作。
规范财务配置
在分销场景下,所有账号的财务关系保留账号初始化之初的“自主结算”方式,不建议使用Landing Zone的财务管理模块进行配置,财务管理模块会影响分销绩效。
产品费用及名词
产品费用
|
产品名称 |
产品说明 |
产品费用 |
|
资源目录RD |
资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。 |
免费,详情参见产品定价。 |
|
企业财务 |
企业财务将多个账号关联到一起,以企业全视角统筹规划云上费用,对关联账号的资金、发票、账单集中化管理,完成费用代付、统一结算、统一发票、统一账单、统一分账、费用分析等业务,并通过用量共享、优惠共享等方式优化企业费用。 |
免费,详情参见功能介绍。 |
|
生态伙伴平台APS |
阿里云生态伙伴平台(APS)是阿里云为生态合作伙伴提供的外部业务平台,旨在支撑阿里云生态伙伴的销售流程作业、阿里云与生态合作伙伴合作的信息沟通和协作以及生态伙伴生命周期管理与服务。 合作伙伴可通过该平台进行客户拓展,客户管理,业务销售管理以及项目管理等操作。 |
名词解释
|
名称 |
说明 |
|
企业管理主账号 |
在企业拥有多个阿里云账号时,特指拥有管理其他账号资源权限的管理员账号。用于管理多账号,统一配置多账号身份权限,统一查看各云账号账单,统一配置审计规则并下发到各成员账号。 |
|
分销账号 |
生态伙伴通过阿里云生态伙伴平台(APS)关联之后,以客户实体进行企业认证的阿里云账号。 |
安全性
RAM权限
本方案是需要客户在资源管理账号中进行。建议在资源管理账号中开设RAM子用户,并授以下权限:
配置RAM用户的访问权限:
- 授权范围为整个云账号,然后选择权限策略。
- 系统策略:从权限策略名称列表,选择需要的权限。
|
权限策略名称 |
说明 |
|
AliyunResourceDirectoryFullAccess |
能够管理资源目录 |
|
AliyunGovernanceFullAccess |
能够管理云治理中心 |
注意事项
使用限制
RD管理多实体账号白名单
目前RD只能管理相同实体的账号,如果需要同时管理一个以上实体的认证账号,请联系SA申请添加RD白名单。
生态伙伴中心同实体账号数限制
目前APS限制伙伴账号uid申请报备相同客户数量存在上限,相同实体最多只能报备5次。如果申请账号数量大于5次,需要在APS系统报备流程中等待APS团队审批。
财务限制
由于目前生态伙伴平台存在限制,当前方案中无法对所有账号的财务进行统一管理,无法统一结算、付费、开票和成本分析,需要每个成员账号自行操作财务行为。
实施步骤
实施准备
设计整体上云框架图
通过与客户的深度沟通,了解客户对于IT方案的预期。基于云治理理念设计符合客户预期的Landing Zone架构图,梳理当前企业需要多少个云账号。
实施时长
在实施准备工作完成的情况下,本方案实施预计时长:1小时。
操作步骤
- 报备客户
- 登陆APS平台,参考APS平台登陆方式。
- 点击右上角“报备客户”按钮,进入报备页面。
- 填写客户名称,完成客户报备,若客户已经报备,建议走项目报备流程,详见APS平台引导。
- 报备完成之后,在客户列表中点击“邀请注册”邀请客户注册阿里云账号。
- 客户通过邮件中的注册链接完成分销账号的创建。
- 可以根据方案所需的客户账号数量,不断重复步骤1,确保账号数满足要求。
- 确定1个企业管理账号。
- 搭建资源管理模块
- 设置财务关系
- 设置财务关系,无须对财务关系进行特殊设置,APS生成账号被邀请之后,默认的财务关系是“自主结算”。
故障排除
为什么无法开通资源目录?
可能有如下两个原因:
- 当前账号没有进行企业实名认证。关于企业实名认证,请参见企业实名认证。
- 当前账号已经在资源目录内,无法重复开通。
为什么成员账号无法接受资源目录邀请?
检查被邀请账号是否与资源目录管理账号的认证主体是否一致。如果确认是不同的认证主体,需要联系SA在资源目录中添加多实体账号白名单。
什么样的账号不适合作为资源目录的管理账号?
- 账号下有待处理的邀请。建议:先处理邀请后再开通资源目录。
- 账号下已经有云资源部署了业务或应用。建议:由于管理账号将承载整个资源目录的架构管理、用户权限管控以及所有资源的付款结算等高权限操作,为了确保管理账号的安全,建议您创建一个新的阿里云账号作为管理账号,避免将已有用途的阿里云账号作为管理账号。
