阿里云Landing Zone系列--1云治理中心使用
阿里云Landing Zone系列
第一章 阿里云云治理中心使用
补充-业务场景说明
第二章 资源目录之–多账号
文章目录
- 阿里云Landing Zone系列
- 前言
- 一、云治理中心是什么?
- 二、云治理中心
- 1.开通并配置云治理中心服务
- 2. 配置完成后的状况
- 总结
前言
对于Landing Zone来说,有多种实现方式, 人工,代码,或者云厂商推荐的工具,为了看一下阿里云自己的工具,我们选择先用云治理中心来做阿里云环境的治理工作,以此来做一个基准,看一下,使用阿里云自己的工具,实施云治理后,能够实现一个什么样的效果。
简单说,就是提供了一个工具,让用户在Portal中通过操作,快速搭建适合自己的Landing Zone
一、云治理中心是什么?
云治理中心是企业在阿里云上进行多账号集中IT治理的平台。通过步骤式向导和自动化流程帮助企业快速搭建Landing Zone,建立安全合规的多账号环境,并对企业在云上的多账号环境进行持续治理。
官网介绍
https://help.aliyun.com/document_detail/254854.html
二、云治理中心
1.开通并配置云治理中心服务
开通云治理账号时,需要注意几个问题:
- 资源目目录的管理账号必须是云账号,而非RAM账号,或者已有的资源账号,并且,指定的云账号不能已在另外一个资源目录中。
- 初始化时,需要指定(邀请其他账号作为财务结算账号)财务结算账号,若企业已经有财务结算账号,并且在其他的资源目录中,那么这个财务结算账号是无法被邀请的。
接下来,开始初始化,初始化包含4个任务
- 1资源结构初始化
- 2 审计日志投递初始化
- 3防护规则初始化
- 4 身份权限初始化
1 资源结构初始化 :包含4个子任务
任务1.1: 确认管理账号 :检查当前账号是否符合管理账号的要求
任务1.2 创建资源夹
任务1.3 指定财务结算账号
任务1.4 创建账号
2 审计日志投递初始化: 将配置审计和操作审计日志统一投递到日志账号。
这里面,主要是两个审计日志,一个是配置审计日志,一个是操作审计日志
3 防护规则初始化任务: 包含两个选项
A必选防护规则
*云治理中心指定存储审计日志的OSS存储空间未开启公共读写
*云治理中心指定存储审计日志的OSS存储空间开启服务端加密
*资源目录内所有云账号不存在Accesskey
- 资源目录内所有云账号开启MFA认证
*云治理中心用于提供服务的指定角色存在
B 推荐防护规则
* 所有ECS数据磁盘开启加密 发现型
*安全组不允许对全部网段开启风险端口
*安全组入网设置有效 发现型
*所有OSS存储空间未开启公共读写
*RDS实例开启TDE加密 发现型
*使用专有网络类型的RDS实例
*RDS白名单未设置为全网段
*RAM用户密码策略符合要求
*RAM用户不存在闲置AccessKey
*ECS实例开启释放保护
*SLB实例开启释放保护
这一步,存在一个问题,当我选择了推荐的全部时,会提示规则不能超过20个
4 身份权限初始化任务:主要是通过配置,实现SSO,这部分因为没有搭建IDP,暂时没有做。
2. 配置完成后的状况
这一圈下来后,产出如下:
1 资源目录:创建了一个资源目录,并且资源目录下,有2 core,application 两个子文件夹,同时,资源目录下包含了两个资源账logarchive,sharedservices
2 审计服务:创建了配置审计服务,以及操作审计服务
3 防护规则:包含了5个必选规则,11个强烈推荐规则,8个可选规则,以及其他未开启规则
大概就长这个样子,红圈部分的服务,截止22年3月,我没有找到这些功能有单独的菜单可以进入,基本都是云治理中心单独有的,也可能是我没找仔细。 其他都还好,就是合规审计这部分,防护规则,只能在云治理中心配置,这么说,我要做合规审计,只能到云治理中心去?先挖个坑,回头再填吧。
总结
感觉云治理中心主要的功能是面向缺少资源的客户,但又希望云端资源能够规范化,满足合规要求,那么使用云治理中心是一个快速实现目标的选择。但以下问题是需要思考还没有答案的:
1 假如我有资源和能力自己来做云资源的治理,比如,直接通过企业-》资源管理来创建资源目录,资源账号,分配权限等,那么,我是否需要用云治理中心呢?
2 假如我已有了资源目录,并创建了一些资源账号,做了一部分的治理工作,那么,我是否有办法在云治理中心中,导入这些配置,并补齐尚未建立的配置呢?看文档是可以的,但我没有实验成功,后续需要再试试
3 一个集团情况下,使用一个云治理中心统管所有原资源,还是基于各个子集团/公司,来设置多个云治理中心,分别给不同的账号用,若是后者,那么多个云治理中心怎么关联和同步来确保大的审计合规和管理呢?
4 多云情况下,集团/公司的管理如何在不同平台实现呢?各自管各自的,还是通过第三方厂商?
5 感觉云治理中心,主要围绕资源目录来实现,这部分可以通过Terraform等一些IaC方案来实现,那么Portal, Terraform等,如何选择呢?
阿里云Landing Zone系列--1云治理中心使用相关推荐
- 阿里云Landing Zone系列--2 资源目录之--多账号
系列文章目录 第一章 阿里云云治理中心使用 补充-业务场景说明 第二章 资源目录之–多账号 文章目录 系列文章目录 前言 一.资源目录是什么? 二.方案学习 1. 学习途径-阿里云最佳实践 2.方案要 ...
- 阿里云Landing Zone系列--场景说明
系列文章目录 第一章 阿里云云治理中心使用 补充-业务场景说明 第二章 资源目录之–多账号 文章目录 系列文章目录 关于场景 关于场景 为了方便学习,我们先来虚拟一个场景,这个场景也是来源于一个实际的 ...
- 阿里云云治理中心正式上线,助力企业快速云落地
简介:2021年11月1日,阿里云"云治理中心"(Cloud Governance Center)产品正式上线,云治理中心是基于企业IT治理的最佳实践,帮助客户快速搭建业务上云的标 ...
- 阿里云联合埃森哲正式发布《跨国企业上云登陆区(Landing Zone)白皮书》
导读 近年来,云转型已经成为了众多跨国企业的核心IT战略,随着跨国企业在数字化转型方面的加速,企业在不断提升用云的广度和深度.但随着全球市场的快速变化和各地日益严格的监管要求,越来越多的跨国企业面临着 ...
- 阿里云何登成:云时代的IT“新”治理
[编者按]2021年12月24日,中国信息通信研究院联合中国内部审计协会.云计算标准和开源推进委员会,成功举办了"2021GOLF+ IT新治理领导力论坛". 大会旨在推进&quo ...
- 重磅发布 , 阿里云全链路数据湖开发治理解决方案
阿里云重磅更新全链路数据湖解决方案,主要包含开源大数据平台E-MapReduce(EMR) + 一站式大数据数据开发治理平台DataWorks + 数据湖构建DLF + 对象存储OSS等核心产品. 近 ...
- 阿里云发布Apsara SA系列混合云存储阵列
3月21日,2019北京阿里云峰会上,阿里云正式发布Apsara SA系列混合云存储阵列,融合IP SAN,FC SAN,NAS和OSS对象存储协议于一体,同时实现了本地数据中心架构和公共云存储的无缝 ...
- 小微企业阿里云最佳实践系列(二):RDS 数据库与DMS 数据库管理(数据管理)...
关联博文 小微企业阿里云最佳实践系列(一):ECS 服务器与 RDS 数据库 概述 阅读对象 本博文主要写给创业团队.技术团队人数 < 5 人.没有专业运维等小微企业作为参考,需要掌握基础的服务 ...
- 小微企业阿里云最佳实践系列(二):RDS 数据库与DMS 数据库管理(数据管理)... 1
关联博文 小微企业阿里云最佳实践系列(一):ECS 服务器与 RDS 数据库 概述 阅读对象 本博文主要写给创业团队.技术团队人数 < 5 人.没有专业运维等小微企业作为参考,需要掌握基础的服务 ...
- “双敏”能力及云原生DevOps工具链云效携手亮相阿里云峰会
5月28日举办的阿里云峰会主论坛上,云效以「助力企业构建「双敏」能力,实现十倍效能提升」的定位闪亮登场,阿里巴巴高级研究员兼阿里云智能基础产品事业部负责人蒋江伟亲自发布. 双敏组织即为组织敏捷和研发敏 ...
最新文章
- 把鼠标、触摸屏、触控笔统一起来,Pointer Events介绍
- Android动态获取图片资源
- codeigniter在nginx安装配置及URL重写
- MySQLdump常用命令
- Socket编程实践(6) --TCP服务端注意事项
- Kubernentes
- python 多线程 异步_python 多线程异步
- 【项目管理工具】SVN 项目版本管理工具
- 数字证书及其认证过程
- 热强化硅酸钠玻璃建筑玻璃英国UKCA认证—EN 1863-2
- 朋友间相处的七项法则
- 深信服校园招聘c/c++ 软件开发A卷--菜鸡落泪
- golang数据结构初探之字典map
- 模型驱动式架构(MDA)技术简介
- 2022年全球聚酰胺MXD6市场前景分析及研究报告
- 云服务器Windows server 2012 R2 搭建网站
- vscode 自定义代码片断
- 你不得不知道的设置canvas画布的宽和高的坑
- 如何操作无使用说明书的示波器
- LeetCode——682. 棒球比赛