LandingZone多账号管理最佳实践

       LandingZone多账号管理最佳实践

示例代码连接:https://gitcode.com/Evan0603/LandingZone/tree/main

一、为什么我应该设置多账户的华为云环境？

这是来自成熟客户的一个非常常见的问题，他们在云环境中运营时遇到了以下困境：

1. 我需要在不同的业务部门之间实现集中资源共享

2. 我需要考虑将生产环境与非生产环境隔离

3. 我需要退款或退款展示功能

4. 我需要隔离的环境用于沙盒测试

5. 我需要一个专门的审计员来访问多个账户

6. 我的不同业务部门有不同的流程

7. 我不知道关于我需要多少账户或VPC（虚拟私有云）的最佳建议是什么

8. 在使用所有服务之前，我需要先进行验证

9. 我需要集中式身份访问管理，以便在不同场景下简化用户或组的权限管理

在华为云环境中，通过采用多账户结构，我们应能确立最佳实践，从而带来以下益处：

1. 环境方面：出于安全、治理或监管原因（如PCI工作负载），将开发、测试和生产环境分离。

2. 财务：提供每个账户的成本可见性、可问责性或控制权；这可能也与业务线相关。

3. 安全性：将控制权委托给特定的业务部门，以便能够在预定义的治理框架内利用华为云平台。

4. 工作负载：面向公众或面向私人的服务分离、不同的风险状况、数据分类、服务消费者等。

5. 账单：提供财务隔离、会计管理和报告的简便性，每个人都能清楚地知道他们为使用的内容支付了多少钱。

6. 创新：允许独立变革和创新

二 、如何在华为云中创建多个账户？

企业中心是一项综合管理服务，旨在帮助管理多账户的复杂性。它赋予您为企业客户灵活配置云组织管理和计费管理的权限。通过该服务，企业能够按组织管理人事、财务和云资源，并在华为云上规范企业运营，从而满足IT治理要求。

您可以参考以下相关链接进行探索：

• 启用企业中心

• 访问企业中心

• 组织管理（创建组织、关联账户[创建成员账户和/或邀请现有账户]、管理组织策略）

• 会计管理（资金转账明细的分配与查看）

 三、从多个视角考虑时，有哪些因素需要考虑？

在决定账户结构时，需要考虑多个视角：

• 财务：资源利用和消耗的计量、报告和再收费方式。

• 业务：服务提供商模式、并购可能性、财务责任模式、自主权。

• 治理：允许提供哪些服务，如何保障、控制和审计这些服务。

• 运营层面：运营模式、运营整合、网络建设、华为云限制。

建议您进行双向沟通，以找到正确的平衡点。不过，可以先从一种模式开始，然后随着客户需求按照业务要求的变化进行迭代！

四、华为多账号结构的参考架构

下图展示了华为多账户结构的推荐参考架构。建议建立两级组织单元（OU）结构，以适应创建的管理（主账户、共享服务、中转、安全运营和集中式身份与访问管理）和资源（生产、质量保证/测试、开发、试验场、数据平台等）配置账户。强烈建议您从第一天起就正确设置和放置管理账户——如果我们不考虑长期的可扩展性、可管理性和安全性来进行规划和实施，可能会对运营产生负面影响。另一方面，您可以根据业务需求和随时间推移的变化灵活创建资源账户。  

 以下是对在不同组织单位（OU）下创建的拟议成员账户的角色和功能的描述：主账户、通用基础设施账户、通用环境账户、受管制环境账户、沙箱账户和其他账户：

1. 账户结构 - 主账户（管理配置）

仅用于管理组织策略、成员和账单

需要在账户上启用企业中心

实现以下功能；

管理多个组织单位（OU）的策略

合并多个账户的账单

为每个账户成员分配配额

在账户层面通过策略控制资源

创建企业项目，通过IAM策略控制账户内的资源

2. 账户结构——共享服务账户（管理配置）

提供可在多个工作负载之间共享的通用基础设施或服务

承载工作负载常用的多个功能或服务

域名系统

活动目录

NTP服务器

备份

利用VPC对等互联或VPC端点来连接不同的组件

3. 账户结构 - 中转账户（管理配置）

所有进出流量的接触点

集中管理所有网络组件

第三方防火墙

第三方入侵防御系统/入侵检测系统

云连接

直连

虚拟专用网络

NAT 网关

有时，由于团队人数较少且成员同时担任多个角色，该职位可以与共享服务账户相结合

4. 账户结构 - 安全运营账户（管理配置）

托管安全团队常用的多项安全功能或服务：

在集中位置收集安全日志

第三方虚拟助手（VA）扫描工具

第三方渗透工具

从单一位置与其他SIEM（安全信息事件管理）系统集成

5. 账户结构 - 集中式IAM账户（管理配置）

账户A：需要访问其他账户的IAM用户的登录区域（通过利用代理实现跨账户角色）

使用基础设施即代码（Infra-as-Code）辅助功能，通过此账户集中管理其他IAM用户、用户组、权限和代理机构

6. 账户结构——一般环境账户（资源调配）

用于一般生产和非生产应用程序托管

每个环境使用独立的华为云账户

客户应根据自身需求来定义账户结构

安全操作与日志记录与账户中的特定安全用户组分离，以使安全人员能够控制安全服务

以下是示例；

场景1——简单产品账户结构

非生产账户（开发、质量保证、测试）

生产账户

场景2——更多控制权的账户结构

开发账户（开发/质量保证）

临时账户（类似生产环境）

生产账户

7. 账户结构——受管制环境（资源调配）

对于需要完全控制以减少对其他产品（如PCI DSS或HIPAA工作负载）影响的特定受管制工作负载

有时，由于需要更轻松地分离审计流量，这会对通用基础设施账户产生额外要求

8. 账户结构 - 沙盒（资源调配）

供开发者测试新工具的试验场

无需通过网络连接至任何其他账户

应在组织下分配有限预算

9. 账户结构——其他（资源调配）

与现有策略不符的额外要求，例如数据与分析账户

五、结论

没有一劳永逸的解决方案，也没有一种方法适用于所有情况——“随着你对如何利用华为云的理解不断深入，你的需求也会随之演变”。从多个不同角度了解客户的需求至关重要。在设计企业账户环境时，要着眼于未来。此外，你需要密切关注即将出现的新功能，这些功能将改变可能性的界限。最后，建议在开始时保持简单，因为随着客户在未来变得更加成熟，他们的需求也会发生变化。