网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

组织和账号设计

更新时间:2025-01-21 GMT+08:00
分享

Landing Zone解决方案的目标是在云上构建安全合规、易扩展的多账号运行环境,首先要规划组织和账号架构。按照康威定律,企业在华为云上的账号结构要与企业的组织和业务架构总体保持一致,但也不用完全照搬复制。不需要把企业内部的完整组织结构映射到华为云上,只把那些负责建设和运维业务系统或IT管理系统的组织单元(如子公司、分公司、部门)和使用IT资源的用户映射到华为云上。

例如HR部门不管理、不查看、不操作任何云上IT资源,就不需要在华为云上创建一个对应HR部门的组织单元;财务小张不负责IT系统的成本核算、分析和预算管理,就无需为小张在华为云上创建一个拥有财务管理权限的用户。

华为云提供以下组织单元和账号的参考架构,建议按照业务架构、地理架构、IT职能等维度设计华为云上的组织单元的层级结构和账号群。

图1 组织单元和账号参考架构

业务账号规划

按照业务架构在华为云上创建不同层级的组织单元OU,每个业务OU下面可以挂载多个业务账号,每个业务账号上可以承载一至多个业务系统。

原则上,业务账号的规划需要跟组织定义的业务单元(业务单元之间要求强隔离)保持一致,业务单元可以是子公司、事业部、产品线、部门、项目组或业务系统等。业务单元的粒度越细,组织对精益治理的诉求越强。根据华为云为大量企业和政府客户设计和实施Landing Zone方案的经验,总结了如下三种规划业务账号的模式。

图2 规划业务账号的模式
  • 模式1是按照业务系统规划业务账号,相当于将业务单元细化到业务系统这个粒度,通过不同的子账号严格隔离不同的业务系统。同时按照生产环境和非生产环境规划不同的子账号,通过独立的子账号严格隔离生产环境和非生产环境,这种模式适合金融、运营商、汽车等管控严格的企业。
  • 模式2是按照子公司规划业务账号,相当于将业务单元定义到子公司,也就是只需要在子公司层面进行严格的隔离。不同子公司的业务系统集中部署在子公司对应的子账号里面。在账号内部可以基于VPC为各个业务系统规划生产环境和非生产环境。这种模式适合很多民营企业集团,这些企业集团往往拥有数十上百个子公司,从公司治理角度要求子公司之间进行严格的业务隔离,但当前还不需要细化到在业务系统之间进行隔离。
  • 模式3是按照产品规划业务账号,相当于将业务单元细化到产品粒度,这里面提到的产品是指企业面向它的外部客户提供服务的软件系统,如直播系统、网络游戏、SaaS软件等。不同的产品部署在不同的子账号中,产品之间保持严格隔离,在账号内部可以基于VPC为各个产品规划生产环境和非生产环境。这种模式特别适合互联网企业和SaaS软件企业。

IT管理账号规划

针对企业的中心IT部门,在华为云上创建对应的组织单元,并在其下面创建安全和基础设施两个下级组织单元,分别容纳安全管理的子账号群和基础设施管理的子账号群。这些IT管理账号可以对企业范围内所有子账号进行统一的IT管理。

原则上,IT管理能账号的规划需要跟组织当前的IT组织规模和职责划分保持一致,避免打破当前利益平衡。根据华为云为大量企业和政府客户设计和实施Landing Zone方案的经验,总结了如下三种规划IT管理账号的模式。

图3 规划IT管理账号的模式
  • 模式1是全量规划,针对大型IT组织,这些IT组织通常有数十上百个IT管理人员,内部已经按照安全运营、日志审计、网络运营、运维监控、公共服务、数据平台、DevOps等职责划分了独立的IT职能小组。为了保障IT部门内部的职责隔离,将这些IT职能小组分别映射到独立的账号,这些账号行使独立的IT职责,所以称为IT管理账号或IT职能账号,如下表所示。
    表1 IT管理账号

    账号名称

    账号履行的IT职能

    责任团队

    建议开通的云服务

    主账号或管理账号

    针对整个企业进行统一组织和账号管理、统一财务管理、统一控制策略管理和统一身份权限管理

    CIO或IT主管

    组织Organizations、资源治理中心RGC、成本中心、IAM身份中心

    网络运营账号

    集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPC网络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口

    网络管理团队

    ER、DNS、NATG、EIP、VPC、DC、CC、VPN、CFW、WAF、AAD等

    公共服务账号

    集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有成员账号使用

    公共服务管理团队

    镜像服务IMS、容器镜像服务SWR、弹性文件服务SFS、对象存储服务OBS、自建NTP服务器、自建AD服务器等公共资源

    安全运营账号

    作为企业安全运营中心,统一管控整个企业内所有账号的安全策略、安全规则和安全资源,为成员账号设置安全配置基线,对整个企业的信息安全负责

    安全管理团队

    统一部署具备跨账号安全管控的服务,如安全云脑SecMaster、企业主机安全HSS、数据安全中心DSC、数据加密服务DEW、云证书服务CCM、漏洞管理服务CodeArts Inspector

    运维监控账号

    统一监控和运维各个成员账号下的资源和应用,统一进行告警管理、事件处理和变更管理,并提供运维安全保障措施

    运维团队

    应用运维管理AOM、COC、云日志服务LTS、应用性能管理APM、云堡垒机CBH等

    日志账号

    集中存储和查看所有账号的审计日志和安全相关的日志(如VPC流日志和OBS访问日志等)

    合规审计团队

    云审计服务CTS、云日志服务LTS、、配置审计服务Config、对象存储服务OBS等

    数据平台账号

    集中部署企业的大数据平台,将其他账号的业务数据统一采集到数据平台进行存储、处理和分析

    数据处理团队

    数据湖、大数据分析平台、数据接入服务、数据治理平台

    沙箱账号

    用于进行各种云服务的功能测试、控制策略的测试等

    测试团队

    按需部署各种需要测试验证的资源和服务

    除了上述子账号之外,中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号等。

  • 模式2是标准规划,针对中型IT组织,这些IT组织通常只有十几到二十几个IT管理人员,所以也不可能像大型IT组织那样将IT职责划分的那么细,但通常会划分独立的安全运营、网络运营、运维监控等IT职能小组。我们建议只需要创建独立的安全运营、网络运营、公共服务和运维管理等IT管理账号。跟模式1的全量规划相比,模式2的安全运营账号相当于合并了模式1中安全运营账号和日志账号的职能。模式2的公共服务和管理账号合并了模式1中运维监控账号、公共服务账号、数据平台账号和DevOps账号的职能。
  • 模式3是最小规划,针对的小型IT组织,通常只有少数几个IT管理人员,这种情况下仅需创建一个公共服务和管理账号,将模式1的安全运营账号、日志账号、网络运营账号、运维监控账号、公共服务账号、数据平台账号和DevOps账号的职能全部合并。

地理区域账号规划

地理区域账号的规划比较简单,可以按照地理架构在华为云上划分不同层级的组织单元OU,每个OU下面可以按照国家或地区创建对应的子账号,在上面可部署本地的客户关系管理系统、客户服务系统和经营管理系统等。上述参考架构把中国区等区域组织映射为华为云的OU,为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。

主账号规划

需要注意的是在组织的根下面会关联一个主账号(也叫管理账号),主账号下不建议部署任何云资源,主要是做好以下管理工作:

  1. 统一组织和账号管理:创建和管理组织结构和组织单元,为组织单元创建子账号,或者邀请已有账号作为组织单元的子账号。
  2. 统一财务管理:针对整个企业的所有账号进行统一财务管理,包括统一预算管理、统一成本分析、统一账单管理、统一资金管理、统一申请代金券、统一成本结算和统一开票等。
  3. 统一策略管理:为各个组织单元和子账号设置(包括服务控制策略标签策略),强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建控制策略时可以将其应用到某一个组织单元,该策略可以继承到关联的子账号和下层组织单元。
  4. 统一身份管理:基于IAM身份中心,统一创建用户和用户群,或者统一配置与外部IdP(Identity Provider)的身份联邦,然后根据最小授权原则,为这些用户统一配置能够访问多个账号内云资源的权限。

在每个子账号下面还可以通过企业项目(Enterprise Project, EP)或者标签对资源进行细粒度的逻辑分组,比如将一个应用系统的子系统映射为华为云上的一个企业项目或标签,用户还可以按照企业项目或标签进行成本分摊和细粒度授权。

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容