更新时间:2023-05-24 GMT+08:00

实践场景

A公司是华为云企业用户,企业中有多个项目团队,需要为项目团队购买资源、配置人员、进行项目管理。本文针对A公司提出的企业需求,给出多项目管理最佳实践。

企业需求

  • 需求1:A公司需要同时在“中国-香港”和“亚太-新加坡”多地域购买多种资源,A公司希望将资源按需分配给两个项目团队,某些服务可实现指定资源的分配,例如某一台ECS服务器只分配给指定IAM用户使用,且两个项目中的资源相互隔离。
  • 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。
  • 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。

解决方案

  • 针对需求1:当前华为云提供的企业管理服务(EPS)和统一身份认证服务(IAM),均可实现项目之间的资源隔离,但两种服务的实现逻辑及功能不同。
    • 企业管理服务:在企业管理服务中创建企业项目,企业项目之间的资源是逻辑隔离,针对企业不同项目间的资源进行分组和管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。
    • 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源
综上,企业管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,推荐A公司使用企业管理服务进行项目资源管理,以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别,请参见:统一身份认证和企业管理的区别
  • 针对需求2:A公司需要配合使用企业管理服务和统一身份认证服务,在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源使用权限。
    图1 A公司人员配置模型
    表1 A公司各用户组权限配置模型

    用户组

    职责

    所需权限

    描述

    财务组

    负责管理项目费用的使用情况。

    Enterprise Project BSS FullAccess

    企业项目费用的管理权限。

    开发组

    负责使用资源进行项目开发。

    ECS FullAccess

    弹性云服务器(ECS)的所有执行权限。

    OBS FullAccess

    对象存储服务(OBS)的所有执行权限。

    ELB FullAccess

    弹性负载均衡(ELB)的所有执行权限。

    安全维护组

    负责项目的安全运维。

    ECS CommonOperations

    弹性云服务器(ECS)的普通操作权限。

    CAD Administrator

    DDoS高防服务(AAD)的所有执行权限。

    运营组

    负责所有项目的总体运营。

    EPS FullAccess

    企业管理服务的所有执行权限,包括修改、启用、停用、查看企业项目。

    如需了解华为云所有云服务的系统权限,请参见:系统权限

  • 针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财务、退订、变更及配额。详情请参考:管理企业项目的财务信息