更新时间:2024-08-16 GMT+08:00
应用Organizations云服务对多账号进行管理
本节将按照入门流程中的顺序,依次为您介绍如何创建组织,并使用组织对多账号进行结构化管理。
本章节包含如下内容:
创建组织
- 以Company A的身份登录华为云。
- 单击“
”,选择“管理与监管 > 组织 Organizations”。 - 在服务开通页,单击“立即开通”。
图1 开通Organizations云服务
开通Organizations云服务后,系统会自动创建组织和根组织单元,并将开通服务的账号Company A设置为管理账号。
创建组织单元
用户可以按各种维度(例如业务范围、账号所有者或账号使用环境)对账号进行分组,相同分组的账号可以使用组织单元(Organizational Units,以下简称OU)进行归类和结构化管理。
例如按照公司A 4个账号的业务范围进行分类,Account y是开发团队的账号,归属于开发团队OU,Account z是运维团队的账号,归属于运维团队OU。开发团队和运维团队同属于公司研发部,因此可建立研发部OU,包含开发团队OU和运维团队OU。以此类推,Account x是财务部账号归属于财务部OU,Company A账号是整个公司的管理账号位于根组织单元中。最终组织结构如图2所示。
依照图3,可按照如下步骤创建组织单元:
- 以管理账号Company A的身份登录华为云,进入Organizations控制台。
- 在组织管理页面中,选中要创建OU的父节点,此处选择根OU。单击“添加”,单击“添加组织单元”。
图3 创建组织单元
- 在弹窗中填写OU名称,此处填写“研发部”,单击“确定”完成OU创建。以同样的方法,创建“财务部”OU。
图4 添加组织单元
- 选中研发部组织单元,参考以上步骤,创建“开发团队”和“运维团队”组织单元。最终组织结构如下图所示。
图5 组织结构
邀请账号加入组织
您已拥有一个组织,并搭建好了组织结构,现在您可以开始向其中填充账号。
- 以管理账号Company A的身份登录华为云,进入Organizations控制台。
- 在组织管理页面中,单击“添加”,单击“添加账号”。
图6 添加账号
- 在弹窗中,选择“邀请现有账号”,输入邀请账号的账号名或账号ID。此处示例为开发团队账号Account y的账号ID。如何获取账号名和账号ID请参见:获取账号名和ID。单击“确定”,向账号发出邀请。
图7 邀请账号
- 登录Account y账号,进入Organizations控制台,单击“接受”,开发团队账号Account y成功加入组织。
图8 接受邀请加入组织
- 登录Company A账号,进入Organizations控制台,在左侧导航栏选择组织管理,在组织结构中找到新加入的账号,单击选中新加入的账号。
- 单击“管理”,单击“移动账号”。
图9 移动账号
- 在弹窗中单击选择要加入的OU,此处选择“开发团队”。单击“确定”,完成账号移动。
- 参考以上步骤邀请财务部账号Account x和运维团队账号Account z加入组织。
绑定服务控制策略(SCP)
现在您已搭建好了组织结构,并已邀请账号加入,在本节将介绍如何使用服务控制策略(Service Control Policy,以下简称SCP)管理组织中账号的权限。例如只有研发部下属的账号可以修改和删除资源合规规则,其余账号如财务部账号无法进行这些操作。目前支持SCP的服务请参见支持SCP的云服务。
- 确定所需策略。
查看SCP系统策略列表,查找到需要设置的权限(若无匹配策略,可选择自定义策略)。此处使用自定义策略进行权限管控,策略语法请参考SCP语法介绍。
策略内容如下:
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ] } - 以管理账号Company A的身份登录华为云,进入Organizations控制台。
- 在组织管理列表中,选中要绑定策略的OU,当前场景为禁止财务部修改和删除合规规则,所以SCP的绑定对象为“财务部”。
- 在“财务部”的组织单元信息页,选择“策略”页签。
- 单击服务控制策略前方的
,单击“绑定”按钮。
图10 绑定SCP
- 在弹框中选择步骤1中确定的策略,单击“绑定”,完成策略绑定。此时您可以在“财务部”OU的服务控制策略列表中查看到已绑定的策略。
