阿里云：2023构建多账号管理云环境白皮书

构建多账号管理云环境白皮书 多账号管理云环境白皮书 目录 CONTENTS 一 背景介绍 01 1、企业客户上云画像 01 2、管理与治理的挑战 02 3、账号规划的最佳实践 04 二 多账号设计原则 07 三 多账号应急登录机制 08 1、创建应急云账号 08 2、配置账号SSO 09 3、配置应急账号的登录角色 09 4、配置成员账号的应急角色 09 5、在企业IdP中进行SAMLSSO配置 10 6、在IdP中创建应急管理员身份组 10 7、应急登录号 10 8、故障恢复 10 四 多账号架构规划 11 1、企业管理账号 11 2、共享服务账号 13 3、运维账号 14 4、日志账号 15 5、安全账号 17 6、沙箱账号 18 7、业务账号 19 五 多账号统一管理环境的搭建 20 1、还未上云的企业 20 2、已在用多账号的企业 21 3、使用单账号的企业 26 六 客户案例 29 七 结束语 30 背景介绍 一.背景介绍 企业客户上云画像 通过观察企业的上云历程，可以将其分为两类：一类以治理优先，另一类以业务优先。 1.1治理优先 带来的价值 单业务上云 治理优先价值曲线价值最大化 研发 网络 安全 合规 财务 运维 迭代0 迭代1 迭代2 迭代3 上云历程 多账号管理云环境白皮书 这类企业在业务上云之初，会先规划好云上治理框架，包括设计云上多账号环境、身份权限、财务关系、网络规划等等，确保业务部署在可控、安全合规的环境中。 1.2业务优化 带来的价值 单业务上云 业务优先价值曲线价值最大化 合规 业务 安全 支持 网络 财务 运维 研发 上云历程 这类企业往往先将业务迁移到云上，满足业务上云需求，然后再来解决治理方面遇到的问题。比如企业最初只有一个阿里云账号，业务将生产与测试环境都部署在单个云账号内，随着后续业务的大量上云就会遇到单账号带来的管理挑战。 管理与治理的挑战 相较于提前做好上云规划的治理优先型企业，业务优先型企业随着用云的深入往往将面临更多的管理和治理挑战。 2.1单账号带来的挑战 不少企业在上云之初，会将全部业务部署在单个阿里云账号内，没有考虑过应该如何设计云上账号体系。随着业务的快速发展，单账号管理面临以下常见挑战： 多账号管理云环境白皮书 业务分账困难 云上消费的账单按照账号划分，如果企业想按照不同业务部门精细化分摊成本，可以给资源实例打标签实现分账。但是目前存在一些还不支持标签的云产品，另一方面，难以将共享型资源如流量类产品、容器服务等精细分摊到不同业务线。导致企业无法将业务的IT成本分清楚。 风险范围扩大 单账号企业将生产环境与测试环境部署在同一个阿里云账号下。但是生产环境对稳定、安全的要求往往较高，如果将测试跟生产环境集中部署在一个账号内，可能因为业务人员的误操作破坏了生产环境的资源，进而影响业务的连续性。 新业务试错成本高 业务希望做一些新技术创新，需要有一个与现有生产环境隔离的沙箱环境。如果企业只有一个阿里云账号，那只能在这个账号内购买新的云产品用于试验，可能会影响存量系统，从而影响业务的连续性。 资源部署受到账号容量限制 随着业务的发展，越来越多的资源部署在同一个阿里云账号下，这可能会导致云产品容量的限制。例如单个阿里云账号在同一地域下最多只能开通10个VPC。更多云产品使用限制，请参见请参见https://help.aliyun.com/document_de-tail/183123.html 2.2多账号缺乏统一管理面临的挑战 有些企业在上云过程中，会将不同业务资源分别部署在各业务账号内，但缺乏统一管理。比较常见的一种情况就是不同业务比较独立，企业没有一个统一的团队来管理这些业务账号。对于已经使用了多账号但还未对账号做统一管理的企业往往会面临以下问题： 多账号管理云环境白皮书 安全风险 企业有多个业务账号，不同账号由各自团队单独负责运维，最常见的问题就是不同账号的安全水位参差不齐。有些团队安全投入较高，配置了很多安全相关的产品。而另一些团队安全投入偏低，配置很少或压根没有配置安全相关的产品，一旦被黑产攻击，会影响整个企业的声誉。 运维规范 有些企业的运维团队会负责制定云上的统一运维规范。如不允许ECS实例、数据库RDS实例开公网、各业务团队必须使用符合公司规范的主机镜像等等。然而运维团队无法统一管理多个业务账号，所以无法下发企业制定的运维规范，导致无法满足企业内部的运维要求。 成本浪费 为了满足行业等保或企业内部的安全合规要求，不同业务账号会配置多个相同的安全类产品如防火墙、加密类产品，这样做会带来成本浪费。因此，企业管理者应该选择一套支持多账号场景的产品来满足不同业务的需求，从而节省不必要的成本投入。 账号规划的最佳实践 针对以上提到的两点挑战，推荐企业构建多账号统一管理策略来管理云环境。 3.1多账号给企业带来的价值 相比于单账号，多账号管理从环境隔离、安全合规、业务创新等方面都能够给企业带来收益。 使用多账号的逻辑强隔离，实现企业不同业务应用间的相互独立 账号与账号之间默认资源隔离，有助于避免不同业务间的依赖项冲突或资源争抢，而且可以为每个业务设置明确的资源限制。在典型的场景中，企业可以把生产环境、测试环境分别放在不同账号内，实现环境的强隔离。 多账号管理云环境白皮书 利用多账号分散风险，最大程度提升资源安全边界，尽可能将危害降到最低 通过多账号消除安全“核按钮”。当非法用户窃取到高权限时，只会影响单个账号，而不影响企业其他账号内的资源。例如，将敏感数据单独存放在一个账号内，对其加以安全约束，确保其安全性。即使企业其他账号的高权限被非法窃取，也难以攻进这个数据账号内，从而将攻击的危害降到最低。 轻松应对大型企业多分公司关系，支持多种法律实体、多种结算模式共存 每个账号对应唯一的法律主体，多账号环境天然支持集团企业的多分公司主体以及不同业务的不同结算模式。在典型的场景中，有些集团型企业在业务发展过程中会投资一些新公司，从而产生不同公司主体。可以通过多账号来支持多种法律实体和多种结算模式的共存。 多账号易于结构化管理，业务的拆分和融合变得简单 当企业业务过多时，如果所有业务都部署在同一个账号中，会导致管理的臃肿。此外，由于业务之间可能存在组织性要求，因此单个账号很难解决这些问题，而多账号则易于实现业务之间的关联。同时，借助账号的独立性，它们可以轻松地拆分或合并到不同的管控域中，并与企业业务适配联动。 满足不同业务的IT运营模型，与企业组织架构映射 随着企业组织越来越庞大，如果将业务全部部署在一个账号内，很难根据账号分清企业组织架构。因此，有些企业将关键的产品线部署在不同的账号内，有助于了解企业有多少业务以及各条业务背后的组织架构。另外，不同组织也会采用不同的IT运营模型，如果所有业务部署在一个账号内，那么无法区分不同的运营模式。 使用多账号可以轻松突破账号级别的配额限制 业务部署在一个账号内，会受到云产品的配额限制。如果将业务按照账号进行分隔开，采用多账号部署，可以避免云产品的配额限制问题。 多账号管理云环境白皮书 3.2多账号统一管理带来的价值 对于使用了多账号的企业，推荐将账号统一管理起来。多账号统一管理给企业可以带来如下价值： 统一管理用户身份，组织内的用户可以使用同一地址登录到不同账号内，不需要切换到不同账号进行登录。 统一管理用户权限，组织内的管理员可以在一个系统中配置不同账号内的用户权限。 统一管理业务合规规则，组织的安全合规团队能够在一个系统中完成审计规则下发与结果查看。 共享资源，如专有网络VPC实例、资源编排ROS模板、服务目录产品组合等云资源，可以共享给不同业务账号使用。 统一管理账号安全，组织内的安全团队可以使用一套安全产品来管理不同业务账号内的安全。 统一管理运维，可以使用统一的监控产品、日志服务来管理不同业务账号内的应用。 统一分账与结算，组织内的财务团队能够在一个账号中完成对不同业务账号的付款与费用查看。 综上所述，推荐以多账号架构为基础，完善企业云上IT治理体系。推荐使用阿里云的资源目录RD（ResourceDirectory）来帮助企业实现多账号的统一管理。 组织关系企业多账号 身份 权限 合规 网络 安全 应用管理 财资费用 集成 集成 审计 集成 集成 集成 集成 统一SSO 统一权限配置 管控策略合规规则 审计日志归集 共享VPCCEN 云安全中心安全报警 统一监控报警 支付关系 特权用户管理 分层权限代理 企业整体合规 共享DNS 安全事件处置 统一中间件 费用预警 CLI集成 安全产品配置 统一发布流程 预算管理 成本分析 多账号设计原则 01 二.多账号设计原则 以上介绍了多账号及账号统一管理给企业带来的价值。规划符合自身业务形态的多账号是每个企业都需要考虑的问题。推荐多账号的几条参考设计原则： 区分生产、非生产环境。建议将不同环境部署在不同账号内。 不在管理账号内部署业务用到的云资源。管理账号只用作管理，避免权限过大导致的越权风险。 管理账号内要做好身份安全设计，开启MFA认证，避免出现管理员身份泄露。多账号使用统一登录，提升人员登录账号效率。 随着业务发展，需要将业务部署在新账号。推荐使用账号工厂，快速创建安全合规的新账号。 多账号应急登录机制 三.多账号应急登录机制 多账号统一管理场景下推荐使用云SSO来满足用户多账号的统一身份管理。尽管云SSO服务本身已经具备高可用，但在这篇白皮书中仍然会提供特殊情况下的应对方案。 当企业启用云SSO作为多账号的统一身份管理服务后，如果云SSO服务发生故障，员工将无法通过云SSO登录控制台。在故障修复过程中如果出现需要马上处理的故障或安全事件等，需要使用备用的登录方式。 以下提供一种预防性配置，作为在特殊故障时期的应急登录方式。需要说明，出于维护成本和效率的考虑，该方式只配置若干必要角色，在特殊故障时期可以快速登录解决问题，并非为每个员工配置应急登录。 创建应急云账号 在资源目录中创建一个应急云账号Emergencyaccount，作为故障期间应急人员的身份管理账号，同时作为登录其他云账号的跳板账号。 (1)不建议使用企业管理账号MasterAccount作为应急云账号，因为企业管理账号可以管理和控制企业资源目录内所有成员账号，除核心管理人员外应该避免非必要的人员登录，以免造成安全风险。 (2)不在Emergencyaccount账号内配置任何业务资源。 多账号管理云环境白皮书 配置账号SSO 在RAM访问控制产品的设置中，配置企业自有身份管理系统与应急云账号的角色SSO登录。具体操作步骤请参见https://help.aliyun.com/zh/ram/us-er-guide/overview 配置应急账号的登录角色 在应急云账号Emergencyaccount中创建一个应急角色EmergencyRole，角色的可信实体为上一步创建的身份提供商，并授予角色AliyunSTSAssumeR-oleAccess的权限。 配置成员账号的应急角色 确认哪些账号有应急事件处理的必要性，例如，生产和管理账号配置应急角色。而沙箱账号、测试账号、审计账号、未上线的新业务等不影响当前业务生产、不会发生紧急事件的账号不需要配置应急角色。 在重要的生产账号中配置应急角色EmergencyRole，根据业务需要授予必要的权限，以保证在应急场景下足够能处理紧急事件。 因为应急处理需要查询日志、重启服务器等权限，所以建议企业根据职责权限划分若干个必要角色，例如只读角色、运维角色等，避免单个角色的权限过大。 多账号管理云环境白皮书 在企业IdP中进行SAMLSSO配置 在企业IdP中进行SAMLSSO配置，需要注意配置的是从IdP到应急云账号Emergencyaccount的角色SSO。met