组织管理概述
什么是组织
华为云Organizations云服务是一项账号管理服务,使您能够将多个华为云账号整合到您创建并集中管理的组织中。组织是为管理多账号关系而创建的实体,一个组织由管理账号、成员账号、根组织单元、组织单元(Organizational Unit,以下简称OU)四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,一个根OU,若干个OU。一个根OU和多层级OU组成树状结构,成员账号可以关联根OU或任一层级的OU。有关Organizations云服务的介绍请参见:什么是组织云服务。
管理账号搭建Landing Zone后,所管理的组织结构、组织单元、账号将会显示在组织管理页面中。
组织管理的基本概念
- 组织
为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。组织管理页面所呈现的,即为一个组织。
- 根组织单元
Landing Zone搭建的组织树顶端。
- 核心组织单元(安全OU)
此OU关联了日志存档账号和审计账号(又称为核心账号)。日志存档账号用于存储所有账号的操作和资源配置的日志,审计账号作为安全管理账号对整个组织的安全负责并具有对其他账号进行安全审计的权限。搭建Landing Zone时,用户可以自定义相关组织单元和账号名称,也可以使用管理账号所在组织内的现有账号作为日志存档账号或者审计账号进行纳管。
使用现有账号作为核心账号前,邀请进组织内的账号进行设置委托,在组织中创建的账号不进行设置委托,设置委托的详细操作请参阅前提条件。如果现有账号包含已使用配置审计Config服务且存在资源记录器,系统会将该账号的资源记录器配置进行覆盖,覆盖之后会默认配置全选。
- 组织单元
组织单元是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。
- 注册组织单元
在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing Zone就可以对组织单元进行监管。
- 附加组织单元
默认创建附加组织单元,Sandbox OU,用于关联用户测试环境相关账号。用户可基于自身诉求调整该组织单元名称,用于其他用途。
- 管理账号
管理账号通常是搭建Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。
- 成员账号
成员账号为关联在根组织单元或者任一个组织单元下的账号。
- 纳管账号
在RGC中创建的账号,系统将会自动纳管。在组织中创建的账号需要手动进行纳管,Landing Zone可以对账号进行监管。