《阿里云：2023構建多賬號管理云環境白皮書（33頁）.pdf》由會員分享，可在線閱讀，更多相關《阿里云：2023構建多賬號管理云環境白皮書（33頁）.pdf（33頁珍藏版）》請在三個皮匠報告上搜索。

1、構建多賬號管理云環境白皮書多賬號管理云環境白皮書目 錄背景介紹1、企業客戶上云畫像2、管理與治理的挑戰3、賬號規劃的最佳實踐2、共享服務賬號3、運維賬號多賬號設計原則 CONTENTS一二多賬號架構規劃1、企業管理賬號5、安全賬號6、沙箱賬號7、業務賬號4、日志賬號四2、已在用多賬號的企業3、使用單賬號的企業多賬號統一管理環境的搭建1、還未上云的企業五客戶案例六結束語七0101020407111314151720212618192、配置賬號SSO3、配置應急賬號的登錄角色1、創建應急云賬號5、在企業IdP中進行SAML SSO配置6、在IdP中創建應急管理員身份組7、應急登錄號4、配置成員賬號

2、的應急角色080909091010108、故障恢復102011多賬號應急登錄機制三082930一.背景介紹01背景介紹01通過觀察企業的上云歷程，可以將其分為兩類：一類以治理優先，另一類以業務優先。企業客戶上云畫像1.1 治理優先治理優先價值曲線價值最大化上云歷程迭代0迭代1迭代2迭代3單業務上云帶來的價值研發網絡安全合規財務運維這類企業在業務上云之初，會先規劃好云上治理框架，包括設計云上多賬號環境、身份權限、財務關系、網絡規劃等等，確保業務部署在可控、安全合規的環境中。這類企業往往先將業務遷移到云上，滿足業務上云需求，然后再來解決治理方面遇到的問題。比如企業最初只有一個阿里云賬號，業務將生產

3、與測試環境都部署在單個云賬號內，隨著后續業務的大量上云就會遇到單賬號帶來的管理挑戰。相較于提前做好上云規劃的治理優先型企業，業務優先型企業隨著用云的深入往往將面臨更多的管理和治理挑戰。管理與治理的挑戰1.2 業務優化不少企業在上云之初，會將全部業務部署在單個阿里云賬號內，沒有考慮過應該如何設計云上賬號體系。隨著業務的快速發展，單賬號管理面臨以下常見挑戰：2.1 單賬號帶來的挑戰02多賬號管理云環境白皮書業務優先價值曲線價值最大化上云歷程單業務上云帶來的價值研發網絡安全業務財務運維合規支持有些企業在上云過程中，會將不同業務資源分別部署在各業務賬號內，但缺乏統一管理。比較常見的一種情況就是不同業務

4、比較獨立，企業沒有一個統一的團隊來管理這些業務賬號。對于已經使用了多賬號但還未對賬號做統一管理的企業往往會面臨以下問題：2.2 多賬號缺乏統一管理面臨的挑戰03多賬號管理云環境白皮書云上消費的賬單按照賬號劃分，如果企業想按照不同業務部門精細化分攤成本，可以給資源實例打標簽實現分賬。但是目前存在一些還不支持標簽的云產品，另一方面，難以將共享型資源如流量類產品、容器服務等精細分攤到不同業務線。導致企業無法將業務的IT成本分清楚。風險范圍擴大單賬號企業將生產環境與測試環境部署在同一個阿里云賬號下。但是生產環境對穩定、安全的要求往往較高，如果將測試跟生產環境集中部署在一個賬號內，可能因為業務人員的誤操

5、作破壞了生產環境的資源，進而影響業務的連續性。新業務試錯成本高業務希望做一些新技術創新，需要有一個與現有生產環境隔離的沙箱環境。如果企業只有一個阿里云賬號，那只能在這個賬號內購買新的云產品用于試驗，可能會影響存量系統，從而影響業務的連續性。業務分賬困難資源部署受到賬號容量限制隨著業務的發展，越來越多的資源部署在同一個阿里云賬號下，這可能會導致云產品容量的限制。例如單個阿里云賬號在同一地域下最多只能開通10個VPC。更多云產品使用限制，請參見請參見https:/ 多賬號給企業帶來的價值04多賬號管理云環境白皮書針對以上提到的兩點挑戰，推薦企業構建多賬號統一管理策略來管理云環境。賬號規劃的最佳實踐

6、企業有多個業務賬號，不同賬號由各自團隊單獨負責運維，最常見的問題就是不同賬號的安全水位參差不齊。有些團隊安全投入較高，配置了很多安全相關的產品。而另一些團隊安全投入偏低，配置很少或壓根沒有配置安全相關的產品，一旦被黑產攻擊，會影響整個企業的聲譽。運維規范有些企業的運維團隊會負責制定云上的統一運維規范。如不允許ECS實例、數據庫RDS實例開公網、各業務團隊必須使用符合公司規范的主機鏡像等等。然而運維團隊無法統一管理多個業務賬號，所以無法下發企業制定的運維規范，導致無法滿足企業內部的運維要求。安全風險成本浪費為了滿足行業等?；蚱髽I內部的安全合規要求，不同業務賬號會配置多個相同的安全類產品如防火墻、

7、加密類產品，這樣做會帶來成本浪費。因此，企業管理者應該選擇一套支持多賬號場景的產品來滿足不同業務的需求，從而節省不必要的成本投入。05多賬號管理云環境白皮書利用多賬號分散風險，最大程度提升資源安全邊界，盡可能將危害降到最低通過多賬號消除安全“核按鈕”。當非法用戶竊取到高權限時，只會影響單個賬號，而不影響企業其他賬號內的資源。例如，將敏感數據單獨存放在一個賬號內，對其加以安全約束，確保其安全性。即使企業其他賬號的高權限被非法竊取，也難以攻進這個數據賬號內，從而將攻擊的危害降到最低。輕松應對大型企業多分公司關系，支持多種法律實體、多種結算模式共存每個賬號對應唯一的法律主體，多賬號環境天然支持集團企

8、業的多分公司主體以及不同業務的不同結算模式。在典型的場景中，有些集團型企業在業務發展過程中會投資一些新公司，從而產生不同公司主體?？梢酝ㄟ^多賬號來支持多種法律實體和多種結算模式的共存。多賬號易于結構化管理，業務的拆分和融合變得簡單當企業業務過多時，如果所有業務都部署在同一個賬號中，會導致管理的臃腫。此外，由于業務之間可能存在組織性要求，因此單個賬號很難解決這些問題，而多賬號則易于實現業務之間的關聯。同時，借助賬號的獨立性，它們可以輕松地拆分或合并到不同的管控域中，并與企業業務適配聯動。隨著企業組織越來越龐大，如果將業務全部部署在一個賬號內，很難根據賬號分清企業組織架構。因此，有些企業將關鍵的產

9、品線部署在不同的賬號內，有助于了解企業有多少業務以及各條業務背后的組織架構。另外，不同組織也會采用不同的IT運營模型，如果所有業務部署在一個賬號內，那么無法區分不同的運營模式。使用多賬號可以輕松突破賬號級別的配額限制業務部署在一個賬號內，會受到云產品的配額限制。如果將業務按照賬號進行分隔開，采用多賬號部署，可以避免云產品的配額限制問題。滿足不同業務的IT運營模型，與企業組織架構映射06多賬號管理云環境白皮書綜上所述，推薦以多賬號架構為基礎，完善企業云上IT治理體系。推薦使用阿里云的資源目錄RD（Resource Directory）來幫助企業實現多賬號的統一管理。對于使用了多賬號的企業，推薦將

10、賬號統一管理起來。多賬號統一管理給企業可以帶來如下價值：3.2 多賬號統一管理帶來的價值統一管理用戶身份，組織內的用戶可以使用同一地址登錄到不同賬號內，不需要切換到不同賬號進行登錄。統一管理用戶權限，組織內的管理員可以在一個系統中配置不同賬號內的用戶權限。統一管理業務合規規則，組織的安全合規團隊能夠在一個系統中完成審計規則下發與結果查看。共享資源，如專有網絡VPC實例、資源編排ROS模板、服務目錄產品組合等云資源，可以共享給不同業務賬號使用。統一管理賬號安全，組織內的安全團隊可以使用一套安全產品來管理不同業務賬號內的安全。統一管理運維，可以使用統一的監控產品、日志服務來管理不同業務賬號內的應用

11、。統一分賬與結算，組織內的財務團隊能夠在一個賬號中完成對不同業務賬號的付款與費用查看。組織關系企業多賬號財資費用集成應用管理集成安全集成網絡集成合規審計權限集成身份集成管控策略合規規則審計日志歸集統一權限配置統一SSO共享VPCCEN云安全中心安全報警統一監控報警支付關系特權用戶管理分層權限代理企業整體合規共享DNS安全事件處置統一中間件費用預警CLI集成安全產品配置統一發布流程預算管理成本分析07區分生產、非生產環境。建議將不同環境部署在不同賬號內。不在管理賬號內部署業務用到的云資源。管理賬號只用作管理，避免權限過大導致的越權風險。管理賬號內要做好身份安全設計，開啟MFA認證，避免出現管理員

12、身份泄露。多賬號使用統一登錄，提升人員登錄賬號效率。隨著業務發展，需要將業務部署在新賬號。推薦使用賬號工廠，快速創建安全合規的新賬號。二.多賬號設計原則01多賬號設計原則以上介紹了多賬號及賬號統一管理給企業帶來的價值。規劃符合自身業務形態的多賬號是每個企業都需要考慮的問題。推薦多賬號的幾條參考設計原則：多賬號統一管理場景下推薦使用云SSO來滿足用戶多賬號的統一身份管理。盡管云SSO服務本身已經具備高可用，但在這篇白皮書中仍然會提供特殊情況下的應對方案。當企業啟用云SSO作為多賬號的統一身份管理服務后，如果云SSO服務發生故障，員工將無法通過云SSO登錄控制臺。在故障修復過程中如果出現需要馬上處

13、理的故障或安全事件等，需要使用備用的登錄方式。以下提供一種預防性配置，作為在特殊故障時期的應急登錄方式。需要說明，出于維護成本和效率的考慮，該方式只配置若干必要角色，在特殊故障時期可以快速登錄解決問題，并非為每個員工配置應急登錄。創建應急云賬號在資源目錄中創建一個應急云賬號Emergency account，作為故障期間應急人員的身份管理賬號，同時作為登錄其他云賬號的跳板賬號。(1)不建議使用企業管理賬號MasterAccount作為應急云賬號，因為企業管理賬號可以管理和控制企業資源目錄內所有成員賬號，除核心管理人員外應該避免非必要的人員登錄，以免造成安全風險。(2)不在Emergency a

14、ccount賬號內配置任何業務資源。08三.多賬號應急登錄機 制多賬號應急登錄機制配置賬號SSO配置應急賬號的登錄角色配置成員賬號的應急角色在RAM訪問控制產品的設置中，配置企業自有身份管理系統與應急云賬號的角色SSO登錄。具體操作步驟請參見https:/ account中創建一個應急角色EmergencyRole，角色的可信實體為上一步創建的身份提供商，并授予角色AliyunSTSAssumeR-oleAccess的權限。確認哪些賬號有應急事件處理的必要性，例如，生產和管理賬號配置應急角色。而沙箱賬號、測試賬號、審計賬號、未上線的新業務等不影響當前業務生產、不會發生緊急事件的賬號不需要配置應

15、急角色。在重要的生產賬號中配置應急角色EmergencyRole，根據業務需要授予必要的權限，以保證在應急場景下足夠能處理緊急事件。因為應急處理需要查詢日志、重啟服務器等權限，所以建議企業根據職責權限劃分若干個必要角色，例如只讀角色、運維角色等，避免單個角色的權限過大。09多賬號管理云環境白皮書在企業IdP中進行SAML SSO配置在IdP中創建應急管理員身份組應急登錄故障恢復在企業IdP中進行SAML SSO配置，需要注意配置的是從IdP到應急云賬號Emergency account的角色SSO。metadata需要登錄應急云賬號，在訪問控制的SSO管理中獲取。具體操作步驟，請參見https

16、:/help.ali- Account）核心賬號業務賬號企業管理賬號日志賬號操作審計（Action Trail）管控策略（Control Policy）日志服務（Log Service）安全賬號DDoS防護Web應用防火墻（WAF）云防火墻（Cloud Firewall）云安全中心（Security Center）共享服務賬號 Nat Gateway配置審計（Config）資源共享（Resource Sharing）云SSO（Cloud SSO）企業財務（Cost Management）資源管理（Resource Directory）DMZ VPCEIPProduction VPC業務云企業網

17、CEN運維賬號Ops hostOps VPC持續集成（Continuous Integration）持續交付（Continuous Delivery）流水線（Pipeline）生產環境業務賬號1業務賬號2業務賬號3Test VPC業務測試環境測試賬號1測試賬號2測試賬號3資源目錄管控策略是一種基于資源結構（資源夾或成員）的訪問控制策略，可以統一管理資源目錄各層級內資源訪問的權限邊界，建立企業整體訪問控制原則或局部專用原則。管控策略只定義權限邊界，不授予權限，您還需要在某個成員中使用訪問控制（RAM）設置權限后，相應身份才具備對資源的訪問權限。例如：限制測試環境不能購買特定規格的ECS實例、禁止

18、業務賬號申請域名等。資源目錄RD（Resource Directory）是阿里云面向企業客戶提供的一套多級賬號和資源關系管理服務。使用資源目錄，企業可以將阿里云上承載的所有業務賬號集合在資源目錄內，并按業務關系分類，以結構化方式統一管理。需要注意，管理賬號需要先經過企業實名認證才能開通資源目錄。個人實名認證賬號不能開通資源目錄。1.1 資源目錄1.2 管控策略當您的組織在使用多賬號部署資源時，您可以在管理賬號開通配置審計服務，完成審計規則的統一配置與審計結果的風險查看。配置審計內置非常豐富的合規包，能夠簡化企業配置成本。常見的合規包有：資源閑置檢測，能夠幫助您發現閑置資源，避免成本浪費。使用多

19、可用區架構檢測，可以幫助您發現是否存在云資源單可用區部署的情況，從而避免可用區單點故障，提高云服務的穩定性。1.3 配置審計多賬號管理云環境白皮書1213多賬號管理云環境白皮書如果您的組織使用多賬號部署業務，在每個賬號內會產生大量的操作日志用于監控和記錄云賬號活動。您可以在管理賬號開通操作審計的多賬號跟蹤，將資源目錄內的所有成員的事件投遞到對象存儲OSS或日志服務SLS。1.4 操作審計當您的組織采用多賬號的云上架構時，配置各個賬號的人員身份和權限策略將變得非常繁瑣。我們推薦采用云SSO，來解決云上多賬號的統一身份管理與訪問控制的問題。使用云SSO，您可以統一管理企業中使用阿里云的用戶，一次性

20、配置企業身份管理系統與阿里云的單點登錄，并統一配置所有用戶對資源目錄賬號的訪問權限。對于企業組織，有些服務需要被多個業務所共享。比如網絡的統一出口場景下的NAT資源、混合云組網場景下用到的高速通道資源等。在這個賬號內推薦部署如下云產品。1.5 云SSO云企業網可幫助您在不同地域專有網絡VPC（Virtual Private Cloud）之間、VPC與本地數據中心間搭建私網通信通道，實現同地域或跨地域網絡互通。關于云企業網的應用場景，請參見https:/ 云企業網（CEN）共享服務賬號當您所在的組織將云下的業務系統搬到云上時，需要實現云上云下互通混合組網。推薦使用云企業網將高速通道物理專線與云上

21、的VPC進行連通組網。關于高速通道，請參見https:/ 高速通道如果您的組織希望統一各個業務VPC的網絡出口，那么可以使用NAT網關，NAT可以提供網絡地址轉換服務。阿里云提供公網NAT網關和VPC NAT網關兩款產品。公網NAT網關提供公網地址轉換服務，VPC NAT網關提供私網地址轉換服務。關于NAT網關，請參見https:/ NAT網關企業為了提升應用代碼發布效率，會部署一套應用的CI/CD平臺?？梢允亲匝谢蛘哌x擇開源的產品（如Jenkins、GitLab等），推薦選擇阿里云云效產品，它是云原生時代一站式BizDevOps平臺。更多關于云效產品的信息，請參見https:/ CI/CD服

22、務多賬號管理云環境白皮書企業內部的運維團隊，需要管理不同業務內的資源，在網絡連通性、權限安全等方面需要做好規劃。在這個賬號內推薦部署如下服務。運維賬號1415多賬號管理云環境白皮書日志賬號用于收集多賬號內的日志，包括用戶操作審計日志、云產品審計日志、網絡流日志、操作系統日志及應用日志等。通過將各個賬號內的日志統一收集到一個賬號，方便安全團隊、合規團隊、運維團隊的統一查看。當統一收集日志后，有些企業會自建基于日志的事件分析系統，用于產生異常告警事件，可以利用對接日志服務的能力實現企業的SIEM方案。為了實現對組織內的人員登錄不同賬號主機的集中管理和控制，推薦使用堡壘機登陸主機，堡壘機可以集中審計

23、操作日志、控制人員登錄權限，提高安全性和管理效率。您可以選擇購買第三方的堡壘機產品或者使用開源的產品，推薦選擇阿里云堡壘機。更多關于阿里云堡壘機的信息，請參見https:/ 堡壘機用戶或者應用程序操作云賬號內資源，會形成操作日志并被記錄。這些操作記錄以日志形式實時采集到日志服務中，可以借助于日志服務的能力，方便檢索關鍵日志信息。4.1 操作審計日志日志賬號網絡流日志可以用于記錄VPC網絡中彈性網卡流量、VPC流量及交換機流量等，幫助您檢查訪問控制規則、監控網絡流量和排查網絡故障。網絡流日志功能捕獲的流量信息以日志方式寫入日志服務中。您可以將各個業務賬號內的流量信息統一寫入日志賬號的日志服務中，

24、進行統一的分析與告警。4.3 網絡流日志通過安裝日志服務Logtail采集Agent，可以用于采集阿里云ECS、自建IDC等服務器上的日志。能夠將操作系統層面的日志統一投遞到日志賬號中做統一分析。4.4 操作系統日志日志能夠有效地幫助企業組織排查問題，滿足日常運維與合規要求。企業也會考慮有效地使用日志，來滿足成本要求。日志服務提供冷存儲功能，降低您長周期存儲的成本，并同時保證日志的查詢、分析、可視化、告警、投遞和加工等能力不受影響。冷存儲數據的存儲費用按照冷存儲的存儲空間計費，冷熱數據轉換不會產生費用。4.5 日志冷熱分層存儲多賬號管理云環境白皮書日志服務支持采集彈性計算、存儲服務、安全、數據

25、庫等多種阿里云云產品的日志數據，包括云產品的操作信息、運行狀況、業務動態等信息。企業組織可以選擇關心的云產品進行統一采集，投遞到日志賬號中進行統一分析與告警。4.2 云產品審計日志1617多賬號管理云環境白皮書建議企業組織可以將安全相關的產品，軟件單獨部署在一個安全賬號內。在這個賬號內給組織的安全團隊嚴格授權，確保符合最小權限原則。通常在這個賬號內部署的產品包括：云安全中心、云防火墻等安全產品。云安全中心針對公共云、多云環境、云外服務器和容器提供多方位的安全檢測和防護能力。當組織有多個云賬號需要統一管理與安全防護配置，可以使用云安全中心的多賬號安全管理功能。云安全中心基于阿里云資源管理提供的可

26、信服務功能，支持將多個阿里云賬號集合到一個資源目錄內，通過結構化方式實現對多個阿里云賬號資源進行統一的數據運營監控及多賬號快捷運營。更多云安全中心多賬號管理的信息，請參見https:/ 云安全中心安全賬號在企業希望試用云上新產品并結合業務進行創新的情況下，如果將其部署在業務賬號內，有可能會對存量業務帶來不可預期的風險。此外，如果企業直接對某些業務賬號例如生產賬號下發管控策略，有可能也會對存量業務帶來不可預期的風險。在這些場景下，推薦開設沙箱環境。通過在沙箱環境中進行功能驗證，可以避免對存量業務產生負面影響。等功能驗證完畢后，再將相應賬號刪除，以確保業務安全性。阿里云云防火墻是一款云平臺SaaS

27、（Software as a Service）化的防火墻，可針對您云上網絡資產的互聯網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控，是您業務上云的第一道網絡防線。當組織有多個云賬號需要統一管理企業安全策略，降低由于管控疏漏導致的網絡安全事件，實現統一防護及時防御，推薦使用云防火墻實現多個賬號的VPC資源共享及流量安全訪問。云防火墻支持通過阿里云資源管理的可信服務功能，將多個阿里云賬號匯總到一個資源目錄（其中每個阿里云賬號表示一個成員賬號），并委派特定的成員賬號作為管理員，使其可以訪問資源目錄下所有成員賬號下的資源，實現多個阿里云賬號的公網資產和VPC資產統一引流保護、策略配置、流量

28、分析、入侵防護、攻擊防護、失陷感知、日志審計分析。5.2 云防火墻多賬號管理云環境白皮書沙箱賬號1819多賬號管理云環境白皮書業務賬號用于部署組織的業務系統，部署環境可以分成生產、預發、測試環境。在賬號內需要部署的資源包括網絡、計算、數據庫、中間件等。某些組織內部的技術中臺團隊，可以提供一些共享的服務組件。這種場景下也建議可以給技術中臺團隊創建一個中臺的業務賬號，在這個賬號內部署技術共享組件服務。業務賬號五.多賬號統一管理環境 的搭建多賬號統一管理環境的搭建20 以上介紹了阿里云多賬號架構規劃的最佳實踐，本章節會介紹如何利用阿里云相關產品來構建多賬號統一管理的環境。也許企業當前在云上的業務規模

29、較小，只用到一個云賬號；但考慮到未來業務的快速發展，也是需要提前做好賬號規劃，方便擴展更多業務賬號。還未上云的企業在企業決定將業務遷移到阿里云時，就要和業務團隊共同確定未來在云上的業務目標?；谀繕?、技術架構及組織模型決定采用什么樣的上云方案。1.1 自主實施已在用多賬號的企業21多賬號管理云環境白皮書通過服務大量企業客戶并總結經驗，阿里云推出了云采用框架（Cloud Adoption Framework，簡稱CAF）。為新客戶上云提供策略和技術的指導原則和最佳實踐，幫助企業上好云、用好云、管好云，并成功實現業務目標。CAF的更多內容，請參見https:/ 原廠服務或引入伙伴22多賬號管理云環

30、境白皮書以下按企業內不同角色日常工作中遇到從簡單到復雜的場景，推薦相應的升級治理方案。如果您是公司的運維團隊負責人，現在需要查看各個賬號內的資源情況，如果通過登錄不同賬號的方式查看資源，效率比較低。推薦使用資源中心的跨賬號資源搜索功能，在控制臺上統一查看不同業務賬號內的資源。您需要先通過資源目錄搭建企業的多賬號體系結構，將各個業務賬號邀請到資源目錄中集中管理。然后使用資源目錄的管理賬號或資源中心的委派管理員賬號開通跨賬號資源搜索，查看各個成員賬號中的資源。更多信息，請參見https:/ 運維團隊希望統一查看各業務賬號內資源對于安全合規團隊，每個業務分別部署在不同云賬號內，但各個賬號內的安全水平

31、不一致。有些賬號配套的安全防護產品比較全面，而有些賬號沒有部署相關的安全防護產品，這可能引發安全問題。公司希望各業務團隊可以共享部分配置或數據，例如操作系統版本。通過自定義鏡像，能夠將統一的操作系統版本共享給各個業務團隊，以實現全公司范圍內的版本同步。對于運維團隊，需要同時管理多個云賬號內資源。每次登錄控制臺需要切換到不同賬號的登錄頁面，輸入相應賬號的用戶名登錄密碼，操作十分繁瑣。因為不同賬號的配額不同，所以賬號管理員需要多次申請不同的賬號配額。而且對于新開賬號，還需要重新申請賬號配額。23多賬號管理云環境白皮書如果您是公司的運維團隊負責人，日常運維工作中需要經常登錄到不同賬號。每次控制臺登錄

32、都需要輸入各個賬號的登錄地址及賬號密碼，這樣操作比較繁瑣。推薦使用云SSO統一登錄方案，管理企業中使用阿里云的用戶，該方案可以一次性配置企業身份管理系統與阿里云的單點登錄，并統一配置各個用戶對相應云賬號的訪問權限。云SSO的更多信息，請參見https:/help.ali- 運維團隊希望統一管理各個賬號的人員身份權限如果您是公司的運維團隊負責人，日常運維過程中經常通過日志排查線上系統問題。由于各個賬號的日志分散在各自賬號內，排查問題就需要登錄到不同賬號中查看日志，這種操作非常繁瑣。推薦您使用日志審計服務，跨賬號采集云產品日志到當前賬號下的日志服務Logstore中。日志服務Logstore的更多

33、信息，請參見:https:/help.ali- 運維團隊希望統一查看各個業務賬號內的系統日志24多賬號管理云環境白皮書如果您是公司的安全或運維團隊負責人，企業內各個賬號內的主機操作系統都各自維護，導致出現了多個不同版本的操作系統。這些版本中可能存在安全漏洞，而您希望企業能夠使用統一的操作系統版本，以便在出現安全漏洞時能夠統一修復。推薦您使用云服務器 ECS的共享鏡像功能，共享鏡像可用于同地域跨賬號部署ECS實例的場景。創建自定義鏡像后，您可以將鏡像共享給其他阿里云賬號，或者基于資源目錄在企業組織內共享使用，共享對象可以使用您共享的自定義鏡像快速創建運行同一鏡像環境的ECS實例。更多信息，請參見

34、：https:/ 運維團隊希望統一管理操作系統版本如果您是公司的運維團隊負責人，在越來越多的業務遷移到云上的情況下，當新業務上線時，您需要優先創建新的阿里云賬號。然而，目前開設云賬號的流程比較繁瑣，還需要進行實名認證，需要較長的等待周期。此外，新賬號創建后還需要進行環境初始化，以滿足安全合規要求。在這種場景下，推薦使用云治理中心的賬號工廠功能。更多信息，請參見https:/ 運維團隊希望能夠快速創建新賬號25多賬號管理云環境白皮書如果您是公司的網絡運維團隊負責人，目前各個業務賬號內的網絡單獨管理，但隨著業務發展越來越多的業務需要在網絡層相互訪問。推薦您使用云企業網的跨賬號互聯方案，跨賬號網絡實

35、例授權操作請參見https:/ 網絡團隊希望統一規劃網絡環境如果您是公司的安全團隊負責人，目前各個業務賬號內的安全水位參差不齊，有些業務方有足夠的安全預算，能夠配置比較全面的安全防護類產品例如主機安全、網絡安全產品等，有些業務方由于經費不足或者安全管理經驗不足，配置的安全防護類產品較少，容易被黑產攻擊。您作為公司安全負責人，需要拉齊不同業務團隊的安全水平。推薦使用云安全中心與云防火墻的多賬號管理方案。對于主機安全，推薦您使用云安全中心的多賬號安全管理功能，對企業中的多個賬號進行統一管理和安全防護配置，實時檢測各個賬號的安全風險狀況。更多信息，請參見：https:/ 安全團隊希望統一管理云上安全

36、26多賬號管理云環境白皮書如果您是公司的安全團隊負責人，為了滿足不同行業或者區域的合規要求，需要定期對云上資源進行審計。因為公司的云資源部署在各個賬號內，所以需要在不同賬號內單獨審計，查看各個賬號審計風險。推薦您使用多賬號的統一審計方案。更多信息，請參見:https:/ 安全團隊希望統一管理云上資源合規3.1 按環境分賬號使用單賬號的企業資源管理賬號業務生產環境測試環境生產賬號測試賬號27多賬號管理云環境白皮書測試環境的安全和穩定性都不如生產環境，所以建議將這兩個環境按照云賬號進行劃分。資源管理賬號主要用于管理其他賬號，開啟資源目錄、云SSO等產品。建 議創建新的實名認證賬號用作資源管理賬號。

37、業務生產賬號用于部署生產環境資源，可以使用云企業網實現多VPC互通。業務測試賬號用于部署測試環境資源。3.2 按業務分賬號隨著越來越多業務遷移到云上，為了更好地隔離不同的業務資源，建議按業務擴展多賬號架構。資源管理賬號主要用于管理其他賬號，開啟資源目錄、云SSO等產品。建議創建新的實名認證賬號用作資源管理賬號。業務生產賬號用于部署生產環境資源。建議保持當前業務賬號的資源，如果有新業務需要上云，可以再開通一個新的業務賬號，將新業務的資源部署在這個新賬號內。業務測試賬號用于部署各個業務的測試環境資源。28多賬號管理云環境白皮書隨著組織的復雜度不斷提高，企業會引入第三方供應商提供部分軟件。同時，業務

38、向海外擴展，企業也會考慮在海外部署資源。推薦企業按業務線、環境、供應商、區域等維度，劃分不同的賬號環境滿足企業對安全合規、財務等方面的管理訴求。3.3 復雜組織賬號架構資源管理賬號核心賬號業務賬號日志賬號安全賬號業務業務賬號1業務賬號2運維賬號共享服務賬號沙箱環境業務沙箱賬號供應商供應商賬號1供應商賬號2海外業務東南亞業務歐美業務測試環境測試賬號1測試賬號2六.客戶案例01客戶案例29典型案例詳情請參見：https:/ Zone實現統一規劃和組織協同巴斯夫構建上云登陸區加速云轉型中興通訊的Landing Zone：“一站式”云上管理及治理迪卡儂建立云上身份權限體系加碼云建設眾安國際的上云Lan

39、ding Zone之旅30七.結束語如果您所在的企業組織還在上云早期，推薦采用多賬號分隔不同環境從而滿足不同業務的需求?？梢赃x擇阿里云Landing Zone解決方案，可以提供一站式多賬號設計與實施方案。滿足企業快速搭建一套安全、合規、可擴展的云上登陸區的需求。如果您所在的企業已經在云上而且是單賬號管理，那么您可以評估多賬號管理帶來的價值，決定是否將現有的環境遷移到多賬號架構進行管理。如果目前已經是多賬號架構，推薦使用資源目錄統一管理各個賬號。對于已經在使用阿里云的企業，也推薦采用阿里云Well Architected解決方案，可以幫助企業在安全合規、穩定性、性能、成本、卓越運營這五個方面來提升云上管理與治理的成熟度。結束語