更新时间:2024-05-11 GMT+08:00
Landing Zone总体设计原则
- 不需要把企业内部的完整组织结构映射到华为云上,只把那些负责管理IT系统的组织单元(如部门、分公司)和使用IT资源的用户映射到华为云上。如行政部门不管理、不查看、不操作任何云上IT资源,就不需要在华为云上创建一个对应行政部门的组织;如财务小张不负责IT系统的成本核算、分析和预算管理,就无需为小张在华为云上创建一个拥有财务管理权限的用户。
- 如果企业内部的IT组织结构(直接管理IT系统)层级很深,建议只把最上面两层IT组织单元映射到华为云上的组织单元,其他下面层级的IT组织单元不建议映射到华为云上,避免避免IT治理的碎片化。
- 针对业务部门,可以按照业务支撑系统创建对应的子账号,如果业务系统的规模比较大,或者需要遵守严格的安全合规标准(如PCI-DSS、HIPPA等),将其映射为一个独立的子账号;如果几个小型业务系统不要求严格的安全隔离,那就可以将这几个小型业务系统部署到一个子账号中。
- 针对IT部门,可以按照IT职责划分不同的IT管理类子账号,如安全运营、运维监控、网络运营、DevOps等子账号。
- 主账号的密码建议由企业的CTO或CIO保管,子账号的密码建议由所属组织单元的负责人保管。主账号和子账号的权限很大,企业需要制定符合自身安全管控要求的账号管理和使用策略。
父主题: 实施步骤
