阿里云IT治理能力說明
資源管理
資源管理是云上IT管理的核心��。企業(yè)中的應(yīng)用(以及應(yīng)用所對(duì)應(yīng)的IT資源)通常會(huì)按照類似組織結(jié)構(gòu)的方式進(jìn)行劃分��。不同部門會(huì)對(duì)應(yīng)著不同的應(yīng)用��;也有的企業(yè)按照產(chǎn)品線���、產(chǎn)品的方式劃分。
和公司的組織結(jié)構(gòu)一樣�,資源的組織結(jié)構(gòu)通常也成樹狀。阿里云資源管理服務(wù)可以幫助企業(yè)映射組織關(guān)系和應(yīng)用的結(jié)構(gòu)��。通過資源目錄,企業(yè)可以定義:
· 資源夾:資源夾對(duì)應(yīng)組織的具體結(jié)構(gòu)��,不同的結(jié)構(gòu)可以作為賬單�����、管控的單元����。
· 資源賬號(hào)或云賬號(hào):用來代表應(yīng)用����、服務(wù)(一組應(yīng)用),或者應(yīng)用的生產(chǎn)�、測試環(huán)境。
下圖為阿里云在資源結(jié)構(gòu)劃分的示意圖���。
阿里云資源管理服務(wù)同時(shí)提供賬號(hào)內(nèi)資源組的管理��。云賬號(hào)的所有者可以對(duì)賬號(hào)內(nèi)的資源進(jìn)行進(jìn)一步的劃分���,以滿足權(quán)限分離的需求,從而提高多人協(xié)作的效率����。資源的分組通?����?梢园凑諔?yīng)用的模塊��,例如Web前端����,服務(wù)后端���,網(wǎng)絡(luò)等�����。
在簡單管控模型中���,也可以直接將云賬號(hào)使用為部門,并使用資源組來劃分應(yīng)用��。
訪問控制
和資源管理平行的是對(duì)身份的管理��。企業(yè)的組織結(jié)構(gòu)通常代表著企業(yè)對(duì)于職能��、業(yè)務(wù)、地域的劃分����,呈樹狀結(jié)構(gòu)。企業(yè)對(duì)于組織����、身份通常使用既有的管理系統(tǒng)進(jìn)行集中管理,例如員工的入職�、離職、密碼�、匯報(bào)關(guān)系等等。在使用云的過程中��,使用云的人員需要在云上有相應(yīng)的身份�,并被授予相應(yīng)的權(quán)限去訪問云上的環(huán)境���。
阿里云用來管理身份權(quán)限的產(chǎn)品叫訪問控制���。訪問控制提供兩種身份管理的方式:沒有本地人員管理系統(tǒng)的企業(yè),可以直接使用阿里云的用戶�、用戶組對(duì)人員的身份進(jìn)行管理;有本地人員管理系統(tǒng)的企業(yè)���,可以使用訪問控制中SSO(單點(diǎn)登錄)功能���,鏈接本地身份和阿里云身份��。
在我們服務(wù)大型企業(yè)的過程中��,發(fā)現(xiàn)很多企業(yè)已經(jīng)使用身份認(rèn)證系統(tǒng)�����,如微軟Active Directory�����, Azure Active Directory, Okta等�,并且希望人員的管理依然在原有的身份認(rèn)證系統(tǒng)中�。阿里云提供兩種SSO的方式:
· 角色SSO:IT管理員預(yù)先在阿里云上創(chuàng)建管理角色,如”管理員”����,”運(yùn)維”,”監(jiān)控”���,并為角色分配對(duì)應(yīng)的權(quán)限���。在企業(yè)身份認(rèn)證系統(tǒng)中�,不同的用戶會(huì)映射到不同的角色����。阿里云上無需進(jìn)行用戶同步。
· 用戶SSO:IT管理員同步本地人員登陸信息到阿里云����,并在阿里云上創(chuàng)建用戶組以及管理權(quán)限。
以下示例為使用角色SSO登陸阿里云:
資源����、人員的問題解決后,IT管理員可以對(duì)人員權(quán)限作出規(guī)劃���。【訪問控制】中的權(quán)限策略提供了常用的系統(tǒng)策略�����,同時(shí)支持用戶自定義權(quán)限策略�。權(quán)限策略定義了用戶可以執(zhí)行操作,以及執(zhí)行的條件�����。
阿里云【訪問控制】支持三種級(jí)別的授權(quán):賬號(hào)級(jí)別,資源組級(jí)別�,資源級(jí)別。
權(quán)限控制中需要注意的問題是:
· 控制Root賬號(hào)�����。Root賬號(hào)具有所有的權(quán)限��,因此也帶來更大的安全隱患����。通常情況下,您無需使用Root賬號(hào)�。
· 授權(quán)策略遵守最小夠用原則。
· 在較高的層次授權(quán)來減少管理的復(fù)雜性����。盡可能使用賬號(hào)或資源組級(jí)別的授權(quán)。
審計(jì)與合規(guī)
雖然有了授權(quán)機(jī)制讓使用者沒有權(quán)限做不符合企業(yè)規(guī)定的事情�����,但在權(quán)限范圍內(nèi)使用者依然有可能由于多種原因作出錯(cuò)誤的操作����。因此���,審計(jì)作為IT部門最后一道防線,記錄所有發(fā)生的事情���。一旦發(fā)生不符合預(yù)期的事情���,IT部門有可以調(diào)出歷史記錄,追溯事故發(fā)生的原因�。另一方面,為了避免事故發(fā)生�,企業(yè)根據(jù)業(yè)界標(biāo)準(zhǔn)和企業(yè)過往的最佳實(shí)踐,制定出內(nèi)部IT規(guī)定�,例如密碼策略規(guī)定,公網(wǎng)訪問規(guī)定等���。 這些規(guī)定需要系統(tǒng)化的方式被監(jiān)控��,確保企業(yè)時(shí)刻處于”合規(guī)”的狀態(tài)。 阿里云在審計(jì)和合規(guī)方面提供豐富的能力�����。
操作審計(jì)
操作審計(jì)(ActionTrail)會(huì)記錄您的云賬戶資源操作,提供操作記錄查詢��,并可以將審計(jì)事件保存到您指定的日志服務(wù)Logstore或者OSS存儲(chǔ)空間�����。通過ActionTrail保存的所有操作記錄��,您可以實(shí)現(xiàn)安全分析�、資源變更追蹤以及合規(guī)性審計(jì)。
ActionTrail收集云服務(wù)的API調(diào)用記錄(包括用戶通過控制臺(tái)觸發(fā)的API調(diào)用記錄)��,規(guī)格化處理后將操作記錄以日志的形式保存到指定的日志服務(wù)Logstore中�����,或者以文件形式保存到指定的OSS存儲(chǔ)空間�。用戶可以使用存儲(chǔ)產(chǎn)品豐富的管理功能來管理這些審計(jì)數(shù)據(jù),比如授權(quán)�����、開啟生命周期管理�����、歸檔管理、檢索����、分析、報(bào)警等�����。
配置審計(jì)(Cloud Config)
· 配置審計(jì)是本次云棲大會(huì)發(fā)布公測的重量級(jí)產(chǎn)品�。它為您提供您在阿里云上的資源列表、當(dāng)前配置快照����、歷史配置快照等信息,幫助您了解資源配置的歷史變更詳情���。同時(shí)它還支持您配置合規(guī)審計(jì)規(guī)則�����,來監(jiān)控資源部署和資源配置的合規(guī)性��。當(dāng)您的資源配置發(fā)生變更時(shí)�,Config會(huì)將變更快照以文件的形式保存到您指定的OSS中。當(dāng)出現(xiàn)”不合規(guī)”情況時(shí)���,Config將按照您的訂閱設(shè)置向您發(fā)送告警。幫助您在面對(duì)大量資源時(shí)�����,輕松的實(shí)現(xiàn)基礎(chǔ)設(shè)施的自主監(jiān)管����,持續(xù)保證合規(guī)性。
財(cái)資管理
企業(yè)作為一個(gè)整體通常在財(cái)務(wù)方面有統(tǒng)一的管理��。常見的兩種場景是:
統(tǒng)一支付:絕大多數(shù)的企業(yè)用戶和云廠商已企業(yè)維度進(jìn)行結(jié)算��。對(duì)應(yīng)的阿里云提供資源目錄下的財(cái)資托管�����,讓企業(yè)可以對(duì)于名下的多個(gè)賬號(hào)進(jìn)行統(tǒng)一結(jié)算和支付�。
· 成本分析和Chargeback:對(duì)于云上成本重視的企業(yè),通常會(huì)按照不同維度進(jìn)行成本分析����,例如按照項(xiàng)目���、負(fù)責(zé)人、組織結(jié)構(gòu)等��。更進(jìn)一步��,有的企業(yè)會(huì)根據(jù)每個(gè)部門產(chǎn)生的成本做內(nèi)部結(jié)算���。在阿里云�,用戶可以通過資源組�、標(biāo)簽等方式來標(biāo)識(shí)資源,并最終在賬單中得到體現(xiàn)����。企業(yè)通過賬單API獲取賬單詳細(xì)信息,并根據(jù)這些標(biāo)識(shí)來進(jìn)行分賬����。未來阿里云也會(huì)提供更優(yōu)質(zhì)的賬單、成本方面的體驗(yàn)�。
寫在結(jié)尾的話
上云不同階段的企業(yè),在IT治理方面會(huì)遇到不同的挑戰(zhàn)�。上云早期的企業(yè),了解IT治理框架����,可以為企業(yè)日后規(guī)?��;纳显谱龊脺?zhǔn)備。上云成熟的企業(yè)�,了解阿里云上IT治理最佳實(shí)踐��,能夠讓效率事半功倍�����。
想要了解更多���,歡迎參加9.27日下午開放平臺(tái)與合作伙伴專場����,SAP�����、FIT2Cloud,�����、傲冠軟件和阿里云產(chǎn)品專家們將共同分享企業(yè)上云的實(shí)踐。
