更新时间:2024-05-11 GMT+08:00
分享

附录

背景信息

表1 华为云Landing Zone工具集

工具

所属云服务

具体描述

账号

IAM

账号(Account)是云上资源归属和使用计费的主体,对其所拥有的资源具有完全控制权限,可以创建和管理用户、用户组,并对用户组进行授权。账号统一接收用户进行资源操作时产生的费用账单。不同账号间有严格的物理隔离,网络互不相通,跨账号的资源互访需要使用特定的工具解决。

组织

企业中心

华为云提供的组织管理功能,允许企业在华为云上创建匹配自身组织结构的组织单元(Organization Unit, OU),并可以通过创建账号或邀请其他账号的方式为组织单元添加账号,实现对多个账号的统一资金管理和消费汇总。创建组织结构的账号为主账号,添加到组织单元的账号为子账号,主子账号通过组织结构构成了一种层级关系。主账号可以将自己的账号余额、信用额度、代金券划拨给子账号,主账号也可以查看子账号在华为云上的财务信息和消费信息,子账号可以继承主账号的商务折扣。需要指出的是,主账号和子账号间依然有严格的物理隔离,网络互不相通。

企业项目

EPS

企业项目(Enterprise Project, EP)是云资源的逻辑集合,其中的资源可以迁入迁出,方便租户按照自身的项目管理模式在华为云上进行资源的分组管理、成本核算和权限控制。一个企业项目可以包含多个区域的资源,可以授权给一个或者多个用户组进行管理。企业项目的灵活性较好,推荐用作企业的IT项目管理。

IAM项目

IAM

IAM项目针对同一个区域(Region)内的资源进行分组和物理隔离,在IAM项目中的资源不能转移到另一个IAM项目,只能删除后重建,灵活性不高。

用户

IAM

用户由华为云账号在IAM中创建,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源,账号可以随时修改或者撤销IAM用户的使用权限。用户不进行独立的计费,由所属账号统一付费。

用户组

IAM

用户组是用户的集合,华为云通过用户组功能实现用户的授权。用户需要加入特定用户组后,才具备对应的权限。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。

策略

IAM

IAM提供的一种细粒度授权机制,可以精确到具体服务的操作、资源以及请求条件等,使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。策略根据创建的对象,分为系统策略和自定义策略。

授权

IAM

华为云通过给用户组授予策略或角色,用户组中的用户就能获得了相应的权限,这一过程称为授权。用户获得具体云服务的权限后,可以对云服务进行操作。有两种授权范围,一个是IAM项目,另一个是企业项目,IAM项目的授权范围是账号内特定区域,企业项目的授权范围仅限于特定企业项目。按照最小授权原则,推荐在企业项目中进行授权。

服务配额

公共服务

华为云平台上单个账号内各服务资源的配额,对用户所能申请的资源数量和容量做了限制,但企业如果确实会使用超过配额的云服务资源,可以提工单申请扩大配额。

资金配额

CBC

为防止用户过度订购云服务,限定账号和企业项目在华为云上订购云服务的资金上限。

成本中心

CBC

成本中心是华为云免费向客户提供的一项成本管理服务,可帮助客户收集华为云成本和使用量的相关信息、探索和分析华为云成本使用情况、监控和跟踪华为云成本。主要功能包括成本分析、预算管理、成本监控、成本优化建议和成本标签等。

安全合规

Compass

Compass是一个自动化合规评估和安全治理的平台,以华为内部云服务网络安全与合规标准为基座,将华为积累的全球安全合规经验服务化,开放PCI DSS、ISO27701、ISO27001等安全治理模板,将合规语言IT化实现自动化扫描,可视化呈现合规状态,一键生成合规遵从性报告,帮助租户快速实现云上业务的安全遵从,提升租户获得法规及行业标准认证的效率。

态势感知

SA

SA(Situation Awareness,态势感知)是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。

资源合规

RMS

通过设置合规规则对特定云资源进行合规检查,如检查某个区域内所有已挂载的云硬盘是否加密。

云审计

CTS

是一种专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

标签管理

TMS

标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类管理。

企业路由器

ER

企业路由器(Enterprise Router, ER)可以连接VPC或本地网络来构建Region级别的中心辐射型网络,是云上大规格,高带宽,高性能的集中路由器。企业路由器使用边界网关协议,支持路由学习、动态选路以及链路切换。企业路由器能够打通多个账号内VPC之间的网络,可以通过VPN、专线与本地网络三层互通,通过云连接与用户在其他Region的VPC互通,通过路由配置,实现灵活的隔离和互通。

VPC

VPC

为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。

子网

VPC

提供一个网段,用来管理云资源网络平面,可以提供IP地址管理、DNS服务。默认情况下,同一个VPC的所有子网内的云服务器均可以进行通信,但可以通过设置网络ACL或安全组进行子网间的安全访问控制,不同VPC之间默认不能通信。

相关文档