- 最新动态
- 功能总览
-
用户指南
-
企业中心
- 企业中心概述
- 开通企业中心
- 进入企业中心
- 组织管理
- 财务管理
- 使用限制说明
- 策略和授权项说明
- 审计
- 关闭企业中心
- 附录(待下线)
-
常见问题
-
公共
- 不同关联模式下,企业主子账号财务管理方案有哪些差异?
- 企业主子账号关联模式,在企业子账号创建后还能变更吗?
- IAM用户和企业子账号的区别
- IAM用户无法查看“组织与账号”的内容了该怎么办?
- 客户申请开通企业主账号有哪些限制条件?
- 企业主账号邀请关联账号有哪些限制条件?
- 企业主账号与企业子账号解除关联关系有哪些限制条件?
- 如何查看企业子账号的关联时间?
- 子账号未完善账号类型和企业名称,企业主账号不允许关联该子账号,怎么办?
- 子账号的账号类型为个人账号,企业主账号不允许关联该子账号,怎么办?
- 企业主账号创建企业子账号用在什么场景?创建的企业子账号实名信息是什么?
- 新建企业子账号会继承主账号的哪些信息?
- 如何删除企业子账号?
- 如何提升关联企业子账号数量上限?
- 信用额度还款优先级说明
- 企业主账号登录(包含IAM子用户登录和其他账号委托登录)华为云后,无权限查看或操作子账号信息怎么办?
- 财务托管
-
财务独立
- 不同企业(单位名称不同的母、子、分公司)如何申请企业管理账号?
- 控股/参股/被母公司实际控制的子公司怎样申请复用母公司的商务优惠?
- 为什么我公司子账号的商务没有享受到母公司主账号同等商务优惠?
- 企业客户主账号可以给企业子账号拨款吗?
- 我公司主账号为何不能给子账号拨款代金券?
- 企业客户主账号可以给企业子账号拨款信用额度吗?
- 企业主账号可以回收企业子账号的代金券吗?
- 企业客户主账号给子账号拨款,子账号消费后,这部分金额由谁开票?
- 企业主账号和子账号为不同法人,企业主账号能代子账号开发票吗?
- 企业主账号代企业子账号开发票,开的是谁的抬头?
- 企业账号(包含主账号和子账号)的开票抬头有何限制要求?
- 同一个企业账号能基于不同的企业项目开不同抬头的发票吗?
- 集团公司客户(企业主账号)下属多个控股子公司(企业子账号),是否可以共享商务折扣及授信?需要满足什么要求?
- 集团公司客户(企业主账号)下属多个控股子公司(企业子账号),是否可以独立开具发票?
- 企业主账号的IAM用户无法查看企业子账号信息?
- 企业主账号能看到企业子账号的资源吗?能管理和使用企业子账号的资源吗?
- 企业子账号如已继承企业主账号的商务优惠,当企业主账号原商务失效并重新获得后,企业子账号需要重新申请继承商务吗?
- 什么是“同一法人”?
- 什么是“不同法人”?
-
公共
- 项目管理
-
企业中心
- 最佳实践
- API参考
- SDK参考
- 视频帮助
- 文档下载
- 通用参考
展开导读
链接复制成功!
步骤四:规划和创建用户组(操作主体:子账号)
以集团公司的部门A为例,使用部门A的子账号登录华为云,进入IAM控制台,针对IT项目A1、A2下面的三个功能小组:应用开发组A、网络管理组B、应用管理组C,在华为云上创建与之对应的3个用户组,并创建用户A、B、C、D、E,加入到对应的用户组,如图1所示。
以子部门A3为例,使用子部门A3的子账号登录华为云,针对IT项目A31下面的功能小组:财务管理组D、应用测试组E,在华为云上创建与之对应的2个用户组,并创建用户F、G加入到对应的用户组。用户组、用户和企业项目的关系如表1所示。
华为云用户组 |
华为云用户 |
参与的企业项目 |
---|---|---|
应用开发组A |
用户A、用户B |
A1开发 |
网络管理组B |
用户B、用户C、用户D |
A1生产、A1开发、A1测试、A2生产、A2开发、A2测试 |
应用管理组C |
用户C、用户D、用户E |
A2生产 |
财务管理组D |
用户F、用户G |
A31生产、A31开发、A32生产、A33测试 |
应用测试组E |
用户G |
A32测试 |
上面的用户组划分并不全面,只是为了演示用户组和各个层级的关系,具体实践时的用户组划分更加复杂。下面着重考虑到大企业在统一运维管控和统一财务管控的诉求,为大企业在华为云上的一个子账号推荐用户组的具体划分方式,以及各个用户组的职责和应该具备的权限,如表2所示。权限级别为账号的用户组,如admin组、计算管理组、存储管理组、网络管理组等,在整个账号层面对资源进行统一管控。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,仅管理所参与的1到多个企业项目的云资源。应用开发组成员只能访问和管理开发环境的云资源,应用测试组成员只能访问和管理测试环境的云资源。
用户组 |
权限级别 |
职责 |
推荐的权限 |
---|---|---|---|
admin |
账号 |
该用户组是默认生成的,拥有所有操作权限。该用户组不需要创建,也不能被删除。通常将账号所关联的组织单元的负责人加入到全局管理组 |
该用户组默认具备了所有操作权限,无需手动设置该用户组的权限 |
计算管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的计算资源,包括云主机、物理机、K8S容器引擎、虚拟机镜像、函数工作流等,可以设置自动弹性伸缩策略 |
ECS FullAccess BMS FullAccess AutoScaling FullAccess IMS FullAccess CCE FullAccess CCI FullAccess FunctionGraph Administrator |
存储管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的存储资源,包括云硬盘、对象存储、弹性文件系统等;同时负责管理备份容灾资源,如云备份、存储容灾服务等 |
EVS FullAccess OBS Administrator SFS FullAccess SDRS Administrator CBR FullAccess DSS FullAccess |
网络管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的网络资源,包括VPC、弹性负载均衡、VPN、云专线、DNS、NAT、CDN等 |
VPC FullAccess ELB FullAccess NAT FullAccess VPN Administrator DNS FullAccess VPCEndpoint Administrator Direct Connect Administrator CDN Administrator |
安全管理组 |
账号 |
该组成员负责统一管理账号下的身份认证服务,包括用户、用户组、权限、委托等;同时管理账号下的所有安全云服务,如应用防火墙、DDoS高仿、主机安全、数据库安全、数据加密、容器安全、云审计等 |
Security Administrator Anti-DDoS Administrator CAD Administrator VSS Administrator HSS FullAccess DBSS Security Administrator KMS Administrator WAF FullAccess SCM FullAccess CGS FullAccess SA FullAccess CBH FullAccess CTS Administrator |
数据库管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的数据库相关的云资源和服务,包括RDS、文档数据库、数据复制服务、数据管理服务、分布式数据库中间件等 |
RDS FullAccess DDS FullAccess DRS Administrator DAS Administrator DDM FullAccess |
大数据及AI管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的大数据及AI云资源及服务,包括MapReduce、数据仓库、数据湖、实时流计算、图引擎、推荐系统、ElasticSearch、表格存储等 |
ModelArts FullAccess MRS FullAccess DWS FullAccess DLI Service Admin DGC Administrator GES FullAccess Elasticsearch Administrator DIS Administrator CS FullAccess CloudTable Administrator DLF FullAccess RES FullAccess HiLens FullAccess |
中间件管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的中间件相关的云资源和服务,包括微服务引擎、分布式缓存、分布式消息、API网关、容器镜像、ServiceStage、区块链等 |
ServiceStage FullAccess CSE FullAccess DCS FullAccess DMS Administrator SMN Administrator APIG FullAccess BCS Administrator SWR Admin |
财务管理组 |
账号 |
该组成员负责账号内的统一财务管理,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。 |
BSS Administrator |
统一运维组 |
账号 |
该组成员负责统一监控和运维账号内的所有云资源,但不负责具体的资源订购和资源操作。 |
建议设置各个云服务的ReadOnlyAccess权限,以及下面的权限: AOM FullAccess CES FullAccess APM FullAccess TMS Administrator |
项目管理组 |
企业项目 |
需要为每一个企业项目创建一个项目管理组,该组成员全权管理项目下的所有资源,包括对企业项目本身进行管理。 |
建议设置所参与企业项目内所有云服务的FullAccess权限,设置default项目中共享给其他项目使用的云资源的ReadOnly权限,以及以下项目管理权限: EPS FullAccess EnterpriseProject BSS FullAccess |
应用开发组 |
企业项目 |
该组成员仅负责管理所参与的1到多个企业项目在开发环境的云资源 |
建议设置所参与企业项目在开发环境的所有云服务的FullAccess权限,同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 |
应用测试组 |
企业项目 |
该组成员仅负责管理所参与的1到多个企业项目在测试环境的云资源 |
建议设置所参与企业项目在测试环境的所有云服务的FullAccess权限,同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 |
应用管理组 |
企业项目 |
该组成员仅负责运维所参与的1到多个企业项目内的应用系统,主要管理企业项目在生产环境的云资源,也可以管理开发环境和测试环境的云资源。应用管理组也需要对资源进行操作。 |
建议设置生产环境下所有相关云服务的CommonOperations、Operator权限以及下面的权限: AOM FullAccess CES FullAccess APM FullAccess TMS Administrator |
上述为用户组推荐的权限没有列举所有必要的权限,也有可能配置了过多和过大的权限,实际应用过程中可根据申请的云资源类型,并按照最小授权原则为用户组授予必要的权限。例如,在华为云上不需要启用WAF(Web应用防火墙),就无需为安全管理组添加WAF FullAccess权限。
基于上述用户组的具体划分方式,集团公司的部门A和子部门A3的用户组规划如图1所示,尽管这两个部门是父子关系,但在华为云是两个不同的账号,需要给每个账号都分别创建统一管控账号范围内资源的用户组。由于图片空间有限,并没有把项目管理组呈现出来,每一个企业项目都应该设置独立的项目管理组。
需要注意的是,这种方式将统一管控的范围限制在了部门级(对应子账号),无法做到公司级(对应主账号)的统一管控,对大企业比较合适,中小企业则应该在公司级(主账号)下创建统一管控资源的用户组。
除了在每一个部门(子账号)创建一个财务管理组之外,也需要在公司层面(主账号)下创建一个财务管理组,统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期核算企业在华为云的消费情况。
涉及到的操作如下:
- 创建用户组:您可以通过统一身份认证服务(IAM)来创建用户组。