一、多账号架构设计
使用阿里云资源目录RD,就像在一个大仓库中整理和分类存放物品一样,为了帮助我们建立一个清晰的云资源层级结构,基于资源目录可以方便地管理和查找所有的云资源,提高资源的利用率和安全性,并简化管理工作,让我们更轻松地掌控和管理云上的各项资源。
根据阿里云最佳实践、当前公司的实际情况和未来的可扩展情况,资源目录配置建议采用以下架构进行配置:
图片
账号类型说明
- 企业管理账号:(Master Account,简称MA)作为多账号体系的根账号存在,负责对整体组织进行管理。承担以下职责:
开通和管理资源目录。
创建和组织其他账号。
拥有企业所有账号的管理员权限。
可以管理所有资源的账单和支付相关的财务信息。
- 日志账号:(Logging Account)用于聚合与审计日志的账号。承担以下职责:
聚合及保存所有日志方便进行统一的查看与审计。
使用者为安全团队。
- 应用账号:(Application Account)作为一般的业务账号用于部署应用。承担以下职责:
在权限范围内根据业务需求开通并管理各类云资源例如ECS、RDS、OSS、SLB、ACK等。
资源夹说明
资源夹类似于文件夹,用于组织和管理云上的资源。在阿里云资源目录中,资源夹是用来管理多个账号下的所有资源实例的概念。
二、资源目录配置
1、使用企业管理账号,在资源管理-资源目录-概览处开通资源目录。
图片
开通资源目录后,系统会为您创建一个Root资源夹,并将当前的登录账号设置为管理账号。
图片
2、按下表要求新建资源夹,点击“创建资源夹”按钮,在右侧弹出界面中输入要创建的文件夹名称,点击确认按钮完成资源夹的创建。
归属资源夹 | 新建资源夹名称 |
Root | Core |
Root | Project |
Core | Management |
Core | Shared |
图片
三、邀请成员
1、在资源管理-资源目录-邀请成员处,点击“邀请成员”按钮,在右侧弹出界面中,填写应用主账号的UID,“归属资源夹”选择“Project”,勾选“我已了解此风险”,点击“确定”按钮。
图片
2、使用应用账号(被邀请的账号),在资源管理-资源目录-概览处,点击“查看邀请”,在操作列单击“处理邀请”。在处理邀请对话框,仔细阅读邀请信息,然后选中风险提示框,最后单击“接受邀请”。被邀请方成功加入资源目录后,可以在资源目录的设置页面,查看到资源目录相关信息。
3、在资源管理-资源目录-概览处,选择“成员列表”,可以看到已接受邀请的账号。
图片
四、新建日志账号
1、使用企业管理账号,在资源管理-资源目录-创建成员处,点击“创建成员”按钮,按日志账号命名规范,在“创建成员”界面填写“阿里云账号名称”和“显示名称”。
阿里云账号名称 | 显示名 | 结算方式 | 归属资源夹 |
XXX-Ali-Logging | XXX-Ali-Logging | 使用管理账号为新成员付款 | Management |
因财务托管目前支持阿里云直客与Reseller伙伴关联客户,我们账号的客户身份暂不支持开通财务托管,所以无法选择使用管理账号为新成员付款。
图片
选择第二种“使用已有成员为新成员付款”,提示“Trusteeship is only available for alibaba directselling accounts and alibaba channel partner (except Agency) enduser.”,与阿里云联系后知道当前账号做财务关联,只能使用财务管理的模式,不能使用财务托管。
图片
所以,这里我们选择“新成员自主付款”,完成上述配置后点击“确定”按钮。
图片
2、创建账号默认会放到Root资源夹下,在资源管理-资源目录-概览处,选择成员列表,找到刚创建的日志账号,点击右边的移动按钮。
图片
选择Root-Core-Management资源夹,点击“确定”按钮。
图片
如下图所示,日志账号已移动到root/Core/Management目录下。
图片
3、通过管理账号的RAM用户扮演成员RAM角色的方式登录日志账号的阿里云控制台。给需要登录日志账号的ram账号,至少授予以下权限:
- AliyunSTSAssumeRoleAccess:调用STS服务AssumeRole接口的权限。
- AliyunResourceDirectoryFullAccess:管理资源目录服务(ResourceDirectory)的权限。
说明
如果该RAM用户用作管理员,您也可以直接授予AdministratorAccess权限。
登录该RAM账号,在资源管理-资源目录-概览处,选择“成员列表”选项卡,找到刚创建的日志账号,点击该账号右侧的“登录账号”按钮,登录日志账号进行日志和审计相关配置。
图片
五、日志账号配置财务关联
5.1 邀请日志账号归属
使用企业管理账号的主账号,点击https://usercenter2.aliyun.com/finance/link-account/list此链接,邀请日志账号归属。
图片
5.2 资源账号转为云账号
第一步、为资源账号设置安全手机号码
用企业管理账号,点击此链接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登录资源管理控制台。在左侧导航栏,选择资源目录 > 概览。单击资源组织页签。找到日志账号,单击目标资源账号操作列的绑定安全手机。
图片
在绑定安全手机对话框,输入安全手机号码,然后获取并输入验证码。单击确定。
图片
第二步、为资源账号设置安全邮箱
用企业管理账号,点击此链接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登录资源管理控制台。在左侧导航栏,选择资源目录 > 概览。单击资源组织页签。找到日志账号,单击目标成员显示名称。
图片
在成员详情面板,单击成员账号名称旁边的修改。
图片
在修改账号邮箱对话框,输入新的电子邮箱地址,然后单击确定。系统会自动向您设置的电子邮箱发送验证邮件,您需要在24小时之内进行确认。未确认之前,您可以重发验证邮件或者取消本次修改。登录对应的电子邮箱,进行修改确认。确认后,该成员的账号名称和安全邮箱将会被同时修改。
图片
第三步、资源账号切换为云账号
用企业管理账号,点击此链接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登录资源管理控制台。在左侧导航栏,选择资源目录 > 概览。单击资源组织页签。找到日志账号,单击目标成员操作列的切换为云账号。
图片
在切换为云账号对话框,阅读风险提示并选中风险提示框,然后单击确定。
图片
第四步、云账号找回密码点击https://passport.aliyun.com/ac/pc/password_find_v_2.htm?fromSite=6&appName=aliyun&lang=zh_CN##returnUrl##此链接,输入刚绑定的手机号或邮箱找回密码。
图片
5.3 接受归属
找回密码后,点击此链接https://account.aliyun.com/login/login.htm登录日志账号的主账号。
图片
点击https://usercenter2.aliyun.com/finance/link-account/list此链接,选择待确认的关联邀请,点击“立即处理”按钮。
图片
点击“同意加入”,完成企业归属。
图片
5.4 配置财务关联
第一步、账号移动
使用企业管理账号的主账号,点击https://ea.console.aliyun.com/account-manage/此链接,登录企业账号中心控制台,选择左侧导航栏中的“组织与账号”,在组织目录右侧的列表页,选择要操作的日志账号,点击“移动”。
图片
移动到指定组织节点,然后点击“确认移动”。
图片
第二步、账号授权及结算策略
使用企业管理账号,点击https://ea.console.aliyun.com/account-manage/此链接,登录企业账号中心控制台,选择左侧导航栏中的“组织与账号”,在组织目录右侧的列表页,选择要操作的日志账号,点击“详情”进入。
图片
在“高级配置”中找到“账号角色”,选择“基础账号成员”。“财务结算策略”,点击”修改“,在弹框中选择“财务管理后,点击确定。
图片
第三步、共享信控
若结算策略为“财务管理”,则使用企业管理账号,点击https://usercenter2.aliyun.com/finance/union-account/overview此链接,设置日志账号的所需额度。
图片
5.5 云账号转为资源账号
用企业管理账号,点击此链接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登录资源管理控制台。在左侧导航栏,选择资源目录 > 概览。单击资源组织页签。找到日志账号,单击目标成员操作列的切换为资源账号。
图片
6.跨账号资源搜索
完成资源目录搭建企业的多账号体系结构后,使用企业管理账号,在资源管理-资源中心-跨账号资源搜索处,点击“开始使用”按钮,开通跨账号资源搜索。
图片
选择要查看的账号或账号下的资源组,即可看到对应的所有资源。
图片
支持自定义SQL语句去做资源查询,无需再通过阿里云OpenAPI的方式编写代码去批量查询所需信息。通过保存使用频率较高的SQL,并提供一键查询功能,可以提高便利性和降低使用SQL的门槛。
图片
7.更多应用场景
资源目录管控策略
资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。
图片
使用资源目录和共享VPC实现多账号网络互通
企业可以采用云企业网CEN(Cloud Enterprise Network)将多个账号间的专有网络VPC(Virtual Private Cloud)进行连接,以实现多账号间的网络互通。但随着业务复杂度的增加,会面临如下的新问题,比如说:分散配置导致无法进行网络集中运维、重复网络资源配置导致成本增加、VPC数量增多导致网络复杂度提升等等。为了避免上述问题,企业可以使用资源目录RD(Resource Directory)将多账号有序组织和管理,然后通过共享VPC快速实现多账号间的网络互通。
图片
使用云SSO统一管理企业多账号的身份和权限
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。云SSO管理员可以创建多个云SSO用户,统一配置云SSO用户对RD内任意成员的访问权限(访问配置)。当云SSO用户登录用户门户时,可以查看自己有权限访问的RD成员列表,以及在每个RD成员中拥有的访问权限(访问配置),然后以访问配置中的权限访问RD成员中对应资源。