步骤四:规划和创建用户组(操作主体:子账号)
以集团公司的部门A为例,使用部门A的子账号登录华为云,进入IAM控制台,针对IT项目A1、A2下面的三个功能小组:应用开发组A、网络管理组B、应用管理组C,在华为云上创建与之对应的3个用户组,并创建用户A、B、C、D、E,加入到对应的用户组,如图1所示。
以子部门A3为例,使用子部门A3的子账号登录华为云,针对IT项目A31下面的功能小组:财务管理组D、应用测试组E,在华为云上创建与之对应的2个用户组,并创建用户F、G加入到对应的用户组。用户组、用户和企业项目的关系如表1所示。
华为云用户组 |
华为云用户 |
参与的企业项目 |
|---|---|---|
应用开发组A |
用户A、用户B |
A1开发 |
网络管理组B |
用户B、用户C、用户D |
A1生产、A1开发、A1测试、A2生产、A2开发、A2测试 |
应用管理组C |
用户C、用户D、用户E |
A2生产 |
财务管理组D |
用户F、用户G |
A31生产、A31开发、A32生产、A33测试 |
应用测试组E |
用户G |
A32测试 |
上面的用户组划分并不全面,只是为了演示一下用户组和各个层级的关系,具体实践时的用户组划分更加复杂。下面着重考虑到大企业在统一运维管控和统一财务管控的诉求,为大企业在华为云上的一个子账号推荐用户组的具体划分方式,以及各个用户组的职责和应该具备的权限,如表2所示。权限级别为账号的用户组,如admin组、计算管理组、存储管理组、网络管理组等,在整个账号层面对资源进行统一管控。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,仅管理所参与的1到多个企业项目的云资源。应用开发组成员只能访问和管理开发环境的云资源,应用测试组成员只能访问和管理测试环境的云资源。
用户组 |
权限级别 |
职责 |
推荐的权限 |
|---|---|---|---|
admin |
账号 |
该用户组是默认生成的,拥有所有操作权限。该用户组不需要创建,也不能被删除。通常将账号所关联的组织单元的负责人加入到全局管理组 |
该用户组默认具备了所有操作权限,无需手动设置该用户组的权限 |
计算管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的计算资源,包括云主机、物理机、K8S容器引擎、虚拟机镜像、函数工作流等,可以设置自动弹性伸缩策略 |
ECS FullAccess BMS FullAccess AutoScaling FullAccess IMS FullAccess CCE FullAccess CCI FullAccess FunctionGraph Administrator |
存储管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的存储资源,包括云硬盘、对象存储、弹性文件系统等;同时负责管理备份容灾资源,如云备份、存储容灾服务等 |
EVS FullAccess OBS Administrator SFS FullAccess SDRS Administrator CBR FullAccess DSS FullAccess |
网络管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的网络资源,包括VPC、弹性负载均衡、VPN、云专线、DNS、NAT、CDN等 |
VPC FullAccess ELB FullAccess NAT FullAccess VPN Administrator DNS FullAccess VPCEndpoint Administrator Direct Connect Administrator CDN Administrator |
安全管理组 |
账号 |
该组成员负责统一管理账号下的身份认证服务,包括用户、用户组、权限、委托等;同时管理账号下的所有安全云服务,如应用防火墙、DDoS高仿、主机安全、数据库安全、数据加密、容器安全、云审计等 |
Security Administrator Anti-DDoS Administrator CAD Administrator VSS Administrator HSS FullAccess DBSS Security Administrator KMS Administrator WAF FullAccess SCM FullAccess CGS FullAccess SA FullAccess CBH FullAccess CTS Administrator |
数据库管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的数据库相关的云资源和服务,包括RDS、文档数据库、数据复制服务、数据管理服务、分布式数据库中间件等 |
RDS FullAccess DDS FullAccess DRS Administrator DAS Administrator DDM FullAccess |
大数据及AI管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的大数据及AI云资源及服务,包括MapReduce、数据仓库、数据湖、实时流计算、图引擎、推荐系统、ElasticSearch、表格存储等 |
ModelArts FullAccess MRS FullAccess DWS FullAccess DLI Service Admin DGC Administrator GES FullAccess Elasticsearch Administrator DIS Administrator CS FullAccess CloudTable Administrator DLF FullAccess RES FullAccess HiLens FullAccess |
中间件管理组 |
账号 |
该组成员负责统一管理和运维账号下所有的中间件相关的云资源和服务,包括微服务引擎、分布式缓存、分布式消息、API网关、容器镜像、ServiceStage、区块链等 |
ServiceStage FullAccess CSE FullAccess DCS FullAccess DMS Administrator SMN Administrator APIG FullAccess BCS Administrator SWR Admin |
财务管理组 |
账号 |
该组成员负责账号内的统一财务管理,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。 |
BSS Administrator |
统一运维组 |
账号 |
该组成员负责统一监控和运维账号内的所有云资源,但不负责具体的资源订购和资源操作。 |
建议设置各个云服务的ReadOnlyAccess权限,以及下面的权限: AOM FullAccess CES FullAccess APM FullAccess TMS Administrator |
项目管理组 |
企业项目 |
需要为每一个企业项目创建一个项目管理组,该组成员全权管理项目下的所有资源,包括对企业项目本身进行管理。 |
建议设置所参与企业项目内所有云服务的FullAccess权限,设置default项目中共享给其他项目使用的云资源的ReadOnly权限,以及以下项目管理权限: EPS FullAccess EnterpriseProject BSS FullAccess |
应用开发组 |
企业项目 |
该组成员仅负责管理所参与的1到多个企业项目在开发环境的云资源 |
建议设置所参与企业项目在开发环境的所有云服务的FullAccess权限,同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 |
应用测试组 |
企业项目 |
该组成员仅负责管理所参与的1到多个企业项目在测试环境的云资源 |
建议设置所参与企业项目在测试环境的所有云服务的FullAccess权限,同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 |
应用管理组 |
企业项目 |
该组成员仅负责运维所参与的1到多个企业项目内的应用系统,主要管理企业项目在生产环境的云资源,也可以管理开发环境和测试环境的云资源。应用管理组也需要对资源进行操作。 |
建议设置生产环境下所有相关云服务的CommonOperations、Operator权限以及下面的权限: AOM FullAccess CES FullAccess APM FullAccess TMS Administrator |
上述为用户组推荐的权限没有列举所有必要的权限,也有可能配置了过多和过大的权限,实际应用过程中可根据申请的云资源类型,并按照最小授权原则为用户组授予必要的权限。例如,在华为云上不需要启用WAF(Web应用防火墙),就无需为安全管理组添加WAF FullAccess权限。
基于上述用户组的具体划分方式,集团公司的部门A和子部门A3的用户组规划如图1所示,尽管这两个部门是父子关系,但在华为云是两个不同的账号,需要给每个账号都分别创建统一管控账号范围内资源的用户组。由于图片空间有限,并没有把项目管理组呈现出来,每一个企业项目都应该设置独立的项目管理组。
需要注意的是,这种方式将统一管控的范围限制在了部门级(对应子账号),无法做到公司级(对应主账号)的统一管控,对大企业比较合适,中小企业则应该在公司级(主账号)下创建统一管控资源的用户组。
除了在每一个部门(子账号)创建一个财务管理组之外,也需要在公司层面(主账号)下创建一个财务管理组,统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期核算企业在华为云的消费情况。
涉及到的操作如下:
- 创建用户组:您可以通过统一身份认证服务(IAM)来创建用户组。
