基本概念
Landing Zone
Landing Zone基础环境简称,指由RGC初始部署的符合最佳实践的多账号环境。
账号
账号是租户间的安全边界,是资源隔离的基本单元。一个账号内的资源只能被授权给该账号下的IAM用户(或IAM委托)所访问。当前账号的承载实体是华为云账号。
管理账号
当一个账号启用Organizations服务之后,该账号被称为管理账号。
管理账号一般用于企业云上多账号资源架构的创建管理,以及组织级策略的管理。
成员账号
当启用Organizations服务后,通过Organizations服务所创建(或邀请加入)的账号称为成员账号。
成员账号一般用于业务或应用资源的部署及管理。
组织
为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元(Organizational Unit,以下简称OU)四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。
根组织单元
当您开通Organizations云服务并创建组织后,系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。
组织单元
组织单元(Organizational Unit,OU)是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。
多账号环境
多账号环境是一种适用于组织或企业的云上架构模式。它由一个管理账号和若干成员账号组成。
最佳实践
最佳实践是已被证明的能够带来良好结果的架构、流程或方法。在RGC中,是指安全、可扩展的多账号环境及一系列云服务配置。
基础环境
由RGC初始部署的符合最佳实践的多账号环境,它有管理账号和两个成员账号(审计账号和日志账号)。该环境同时提供了组织级的统一登录、集中日志和审计能力。
账号纳管
未通过RGC创建的账号由RGC接管的过程。账号纳管后,RGC会将最佳实践配置到该账号上。
模板
模板是一个HCL语法文本描述文件,支持tf、tf.json、zip包文件格式,用于描述您的云资源。
控制策略
为持续治理云上多账号环境而提供的预定义规则。
服务控制策略
服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、OU和成员账号。当服务策略关联到组织或OU时,该组织或OU下所有账号受到该策略影响。
