步骤八：订购和使用云资源（操作主体：具备权限的用户） 创建好VPC和子网后，就可以为各个企业项目订购云资源了。首次在华为云上订购云资源时，往往会一次性订购大量的云资源，涉及的资源类型也很多，包括计算、存储、网络、数据库、安全、大数据等云资源，如果使用不同权限的用户组分别订购的话，来回切换用户组不是很方便，所以建议首次订购时直接使用admin组下的用户完成所有初始资源的订购。后面再由其他具备权限的用户组成员针对某类资源执行扩容、修改、启停等操作，如由计算管理组成员对云主机进行弹性伸缩设置、创建镜像、开关机等操作。 订购云资源时，需要选择将资源放入对应的VPC和子网。以企业项目“A1生产”为例，申购的E CS 云主机时将其VPC设置为“VPC_部门A_生产”，如果该云主机用于部署应用软件，则将其子网设置为“A1应用子网”，如果该云主机用于部署数据库软件，则将其子网设置为“A1数据子网”。后续由安全管理员为“A1应用子网”和“A1数据子网”设置网络ACL进行安全访问控制。 订购云资源的时候要指定一个企业项目，这些订购的云资源被创建出来后将归属到该企业项目进行成本核算和权限控制，用户还可以在资源管理控制台、云服务器控制台等地方按照企业项目筛选查看资源。每个账号下面有一个default企业项目，可用于包含统一管理、统一订购的云资源，供其他企业项目共享使用，针对大型企业的特点，推荐但不局限于将以下云资源放到default项目进行共享： 表1 多个企业共享使用的云资源 资源分类 推荐放入default企业项目供其他企业项目共享使用的云资源 计算 镜像服务 IMS等 存储 云备份CBR（含云服务器备份、云硬盘备份和混合云备份）、 对象存储OBS 、CDN等 网络 虚拟私有云VPC 、共享带宽、云连接DC、 域名 解析DNS等 安全 DDoS高防等 应用中间件 应用与 数据集成平台 ROMA、API网关等 大数据及AI 智能数据湖 运营平台DAYU、 云数据迁移 CDM等 华为云上各个云服务在持续对接企业项目的过程中，目前阶段并不是所有的云服务都支持放置到企业项目，随着对接过程的完成，未来会更新上表中的内容。 订购云资源时或者在创建完资源后可以给这些资源打标签（需要具备TMS管理员权限），打完标签后，可以在资源管理控制台、云服务器控制台按照标签筛选查看资源，也可以在创建资源合规检查的时候按照标签筛选要检查的目标资源。 父主题： 云上IT治理最佳实践

步骤五：授予权限（操作主体：子账号） 表2中的用户组有不同的权限级别，权限级别为账号的用户组，如计算管理组、存储管理组、网络管理组等，其权限在 IAM 中授予。权限级别为企业项目的用户组，如应用开发组、应用测试组、应用管理组和项目管理组，其权限在企业项目中授予。 以集团公司的部门A为例，使用部门A的子账号登录华为云，进入IAM控制台，为计算管理组、存储管理组、网络管理组、安全管理组、数据库管理组、中间件管理组、大数据及AI管理组、财务管理组、统一运维组授予表2所推荐的权限。在IAM控制台进行授权时需要选择合适的作用范围：全局服务或者区域级项目，前者适用于全局级云服务，如OBS、TMS、CDN、SCM等云服务，后者适用于按区域部署的云服务，如ECS、RDS等。例如，为安全管理组授予SCM FullAccess权限时需要将作用范围选为全局服务；为数据库管理组授予RDS FullAccess权限时需要将作用范围选为区域级项目并选择具体的区域，按照最小授权原则，尽量不要选择“所有项目”，而是选择要管理的RDS资源所在的区域项目。 上述区域级项目是指IAM项目，默认情况下一个区域对应一个IAM项目。 然后进入企业项目控制台，为企业项目“A1生产”添加用户组“应用管理组for A1”并授予相应权限；为企业项目“A1开发”添加用户组“应用开发组 for A1”并授予相应权限。通过这种权限设置方式，用户组“应用管理组for A1”的成员（该成员没有加入其他用户组）只能访问企业项目“A1生产”内的云资源，同理，用户组“应用开发组 for A1”的成员（该成员没有加入其他用户组）只能访问企业项目“A1开发”内的云资源。部门A下面其他企业项目的用户组授权以此类推。 应用开发组、应用测试组和项目管理组的成员在为企业项目创建云资源时，可能会用到放置到default项目的共享云资源，例如创建一个ECS云主机时会用到default项目中的VPC、共享带宽等。因此需要在default项目中为这些用户组授予共享云资源的ReadOnly权限。 admin用户组是系统默认生成的，拥有账号下的所有操作权限，无需手动设置该用户组的权限。 图1所示的用户组划分方式将统一管控的范围限制在了部门级（对应子账号），无法做到公司级（对应主账号）的统一管控。如果大公司仍然希望在公司级进行统一资源管控，也可以考虑在公司级（主账号）下创建统一管控资源的用户组，然后在各个子账号下分别创建“普通账号”的委托类型，将子账号下面的资源管理权限委托给主账号，主账号再将这些委托权限分配给统一管控资源的用户组。 涉及到的操作如下： 创建用户组并授权：您可以通过 统一身份认证 服务（IAM）来创建用户组并授权。管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。 为企业项目关联用户组并授权：将用户组与企业项目关联，并为其设置一定的权限策略，该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限。 为企业项目关联用户并授权：将用户与企业项目关联，并为其设置一定的权限策略，该用户即可拥有策略定义的对该企业项目中资源的使用权限。 父主题： 云上IT治理最佳实践

大企业IT治理架构 大企业的业务覆盖范围很广泛，分布在不同的子行业和地理区域，为支持整个公司的长期稳定运行和有效管理，通常采用集团化和等级式管理模式。随着经营范围和规模的不断扩大，需要不断建立子公司、分公司，子公司再建立孙公司，大部门也逐步拆分成多个小部门，组织结构的层级也就越来越多。大企业的IT治理架构也会受到组织结构的影响，以下是一个典型的大企业IT治理架构，由于图片空间有限，该架构图中没有列出全部的层级，如IT项目A331的功能小组、成员和运行环境没有呈现出来。本章所描述的大企业IT治理最佳实践以下图的IT治理架构为基础，将其映射到华为云上有效运转起来。 图1 大企业IT治理架构 在上述大企业IT治理架构中，各个层级的具体含义如下： 集团公司：是指以资本为主要联结纽带，以母子公司为主体，以集团章程为共同行为规范的，由母公司、子公司及其他成员共同组成的企业法人联合体。 子公司：其50%以上有投票表决权的股份或资本被另一企业（母公司）所拥有的企业，母公司对子公司的一切重大事项拥有实际上的决定权。子公司具有独立法人资格，在法律上是完全独立的公司，是独立的核算主体和纳税主体。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司：分公司是母公司管辖的分支机构，是指母公司在其住所以外设立的以自己的名义从事活动的机构。分公司不具有企业法人资格，其民事责任由母公司承担。 独立法人：独立法人是指依法在工商部门登记的拥有企业独立法人营业执照的经济组织，具备独立的民事行为能力，能够独立承担民事责任。 部门：母公司、子公司和分公司都可以基于自己的经营管理需求设立部门，如软件企业可以按照不同的软件产品线设立不同的部门，工业制造企业可以按照业务流程设立研发部、制造部、采购部、销售部、服务部等。大部门还可以再进一步拆分成小部门。 IT项目：企业按照自己的项目管理模式设置的信息化、数字化或软件开发项目，IT项目中应用系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 功能小组：参与IT项目的成员按照职责不同可以划分为不同的功能小组，如一个ERP项目可以划分为计算组、存储组、网络组、安全组、数据组、应用组、财务组、系统管理员组等。 成员：一个成员代表一个参与IT项目的人，可加入到同一部门下不同的IT项目和功能小组，但一般不参加其他部门的IT项目。 运行环境：IT项目中的应用系统（如ERP系统）通常要部署到不同的运行环境：互联网环境、生产环境、开发环境和测试环境。多个IT项目可以共享一套运行环境，大型IT项目（如大型电商、大型ERP系统）也可以独占一套运行环境。 上述大企业IT治理架构中各个层级之间的关系如下图所示： 图2 企业IT治理架构的层级关系 父主题： 大企业IT治理最佳实践

步骤二：规划和创建组织和子账号（操作主体：主账号） 以集团公司为例，使用上面创建的主账号登录华为云，进入企业中心页面，针对集团公司下面每一个管理IT项目的部门（部门A、部门A3）和分公司（分公司F），在华为云上分别创建对应层级的组织单元，如图1所示。并给每个组织单元添加一个子账号，该子账号代表该组织单元在华为云上行使管理职能。 创建子账号时，可以设置以下权限：查看子账号财务信息、查看子账号消费消息、禁止子账号自行开票、允许代子账号开票、允许子账号继承主账号商务折扣。 子部门A33虽然也管理IT项目，但属于三级部门，层级较深的部门不建议在华为云上创建对应的组织单元，而是将其管理的IT项目A331挂到上级部门A3下面，如图1所示。不管理IT项目的部门（部门B、子部门A4）和分公司（分公司E），与华为云不产生交互关系，所以无需为此在华为云上创建对应的组织单元。 涉及到的操作如下： 新建组织：企业主账号可以创建组织，用于将关联的子账号挂载在组织单元上，挂载后可以按组织统计资金的消费情况。 管理组织策略：您可以通过设置组织策略决定子账号的云服务访问权限。 关联子账号：企业主账号通过创建子账号或邀请子账号的方式，建立企业主子关联关系。您可以通过两种方式关联子账号，即新建子账号和邀请子账号。 给子账号授权：企业主账号可以在关联子账号时，完成主账号对子账号的授权，也可以在关联后变更子账号权限。您还可以查看权限说明，具体了解主账号与子账号组成的多种权限策略。 图1 集团公司映射到华为云 其他子公司和孙公司下面的组织按照同样的方式创建，如下图所示。 图2 子公司和孙公司映射到华为云 父主题： 云上IT治理最佳实践

步骤十：资源合规检查（操作主体：admin组成员） 使用一个admin组的成员登录华为云，进入配置审计控制台，添加资源合规规则，可以直接选用系统内置预设策略快速添加一组合规规则，用于评估资源是否满足合规要求。添加资源合规规则时可以指定评估的资源范围，还可以通过资源ID或标签指定资源类型下的某个具体资源参与规则评估。通过资源合规检查可以满足企业的安全合规要求。 在安全合规方面，启用华为 云安全 服务，如 企业主机安全 、 Web应用防火墙 、 云堡垒机 、数据库安全审计、加密服务、 态势感知 和MDR安全专业服务等，确保应用系统的安全合规和稳定运行。 父主题： 云上IT治理最佳实践

步骤四：规划和创建用户组（操作主体：子账号） 以集团公司的部门A为例，使用部门A的子账号登录华为云，进入IAM控制台，针对IT项目A1、A2下面的三个功能小组：应用开发组A、网络管理组B、应用管理组C，在华为云上创建与之对应的3个用户组，并创建用户A、B、C、D、E，加入到对应的用户组，如图1所示。 以子部门A3为例，使用子部门A3的子账号登录华为云，针对IT项目A31下面的功能小组：财务管理组D、应用测试组E，在华为云上创建与之对应的2个用户组，并创建用户F、G加入到对应的用户组。用户组、用户和企业项目的关系如表1所示。 表1 用户组及其参与的企业项目 华为云用户组 华为云用户 参与的企业项目 应用开发组A 用户A、用户B A1开发 网络管理组B 用户B、用户C、用户D A1生产、A1开发、A1测试、A2生产、A2开发、A2测试 应用管理组C 用户C、用户D、用户E A2生产 财务管理组D 用户F、用户G A31生产、A31开发、A32生产、A33测试 应用测试组E 用户G A32测试 上面的用户组划分并不全面，只是为了演示用户组和各个层级的关系，具体实践时的用户组划分更加复杂。下面着重考虑到大企业在统一运维管控和统一财务管控的诉求，为大企业在华为云上的一个子账号推荐用户组的具体划分方式，以及各个用户组的职责和应该具备的权限，如表2所示。权限级别为账号的用户组，如admin组、计算管理组、存储管理组、网络管理组等，在整个账号层面对资源进行统一管控。权限级别为企业项目的用户组，如应用开发组、应用测试组、应用管理组和项目管理组，仅管理所参与的1到多个企业项目的云资源。应用开发组成员只能访问和管理开发环境的云资源，应用测试组成员只能访问和管理测试环境的云资源。 表2 用户组划分及权限设置 用户组 权限级别 职责 推荐的权限 admin 账号 该用户组是默认生成的，拥有所有操作权限。该用户组不需要创建，也不能被删除。通常将账号所关联的组织单元的负责人加入到全局管理组 该用户组默认具备了所有操作权限，无需手动设置该用户组的权限 计算管理组 账号 该组成员负责统一管理和运维账号下所有的计算资源，包括云主机、物理机、K8S容器引擎、虚拟机镜像、 函数工作流 等，可以设置自动弹性伸缩策略 ECS FullAccess BMS FullAccess AutoScaling FullAccess IMS FullAccess CCE FullAccess CCI FullAccess FunctionGraph Administrator 存储管理组 账号 该组成员负责统一管理和运维账号下所有的存储资源，包括云硬盘、对象存储、弹性文件系统等；同时负责管理备份容灾资源，如云备份、存储容灾服务等 EVS FullAccess OBS Administrator SFS FullAccess SDRS Administrator CBR FullAccess DSS FullAccess 网络管理组 账号 该组成员负责统一管理和运维账号下所有的网络资源，包括VPC、弹性负载均衡、VPN、云专线、DNS、NAT、CDN等 VPC FullAccess ELB FullAccess NAT FullAccess VPN Administrator DNS FullAccess VPCEndpoint Administrator Direct Connect Administrator CDN Administrator 安全管理组 账号 该组成员负责统一管理账号下的身份认证服务，包括用户、用户组、权限、委托等；同时管理账号下的所有安全云服务，如应用防火墙、DDoS高仿、主机安全、数据库安全、 数据加密 、 容器安全 、 云审计 等 Security Administrator Anti-DDoS Administrator CAD Administrator VSS Administrator HSS FullAccess DBSS Security Administrator KMS Administrator WAF FullAccess SCM FullAccess CGS FullAccess SA FullAccess CBH FullAccess CTS Administrator 数据库管理组 账号 该组成员负责统一管理和运维账号下所有的数据库相关的云资源和服务，包括RDS、文档数据库、 数据复制服务 、数据管理服务、 分布式数据库 中间件等 RDS FullAccess DDS FullAccess DRS Administrator DAS Administrator DDM FullAccess 大数据及AI管理组 账号 该组成员负责统一管理和运维账号下所有的大数据及AI云资源及服务，包括MapReduce、 数据仓库 、 数据湖 、实时流计算、图引擎、推荐系统、ElasticSearch、 表格存储 等 ModelArts FullAccess MRS FullAccess DWS FullAccess DLI Service Admin DGC Administrator GES FullAccess Elasticsearch Administrator DIS Administrator CS FullAccess CloudTable Administrator DLF FullAccess RES FullAccess HiLens FullAccess 中间件管理组 账号 该组成员负责统一管理和运维账号下所有的中间件相关的云资源和服务，包括微服务引擎、分布式缓存、分布式消息、API网关、容器镜像、ServiceStage、 区块链 等 ServiceStage FullAccess CSE FullAccess DCS FullAccess DMS Administrator SMN Administrator APIG FullAccess BCS Administrator SWR Admin 财务管理组 账号 该组成员负责账号内的统一财务管理，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。 BSS Administrator 统一运维组 账号 该组成员负责统一监控和运维账号内的所有云资源，但不负责具体的资源订购和资源操作。 建议设置各个云服务的ReadOnlyAccess权限，以及下面的权限： AOM FullAccess CES FullAccess APM FullAccess TMS Administrator 项目管理组 企业项目 需要为每一个企业项目创建一个项目管理组，该组成员全权管理项目下的所有资源，包括对企业项目本身进行管理。 建议设置所参与企业项目内所有云服务的FullAccess权限，设置default项目中共享给其他项目使用的云资源的ReadOnly权限，以及以下项目管理权限： EPS FullAccess EnterpriseProject BSS FullAccess 应用开发组 企业项目 该组成员仅负责管理所参与的1到多个企业项目在开发环境的云资源 建议设置所参与企业项目在开发环境的所有云服务的FullAccess权限，同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 应用测试组 企业项目 该组成员仅负责管理所参与的1到多个企业项目在测试环境的云资源 建议设置所参与企业项目在测试环境的所有云服务的FullAccess权限，同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 应用管理组 企业项目 该组成员仅负责运维所参与的1到多个企业项目内的应用系统，主要管理企业项目在生产环境的云资源，也可以管理开发环境和测试环境的云资源。应用管理组也需要对资源进行操作。 建议设置生产环境下所有相关云服务的CommonOperations、Operator权限以及下面的权限： AOM FullAccess CES FullAccess APM FullAccess TMS Administrator 上述为用户组推荐的权限没有列举所有必要的权限，也有可能配置了过多和过大的权限，实际应用过程中可根据申请的云资源类型，并按照最小授权原则为用户组授予必要的权限。例如，在华为云上不需要启用WAF（Web应用防火墙），就无需为安全管理组添加WAF FullAccess权限。 基于上述用户组的具体划分方式，集团公司的部门A和子部门A3的用户组规划如图1所示，尽管这两个部门是父子关系，但在华为云是两个不同的账号，需要给每个账号都分别创建统一管控账号范围内资源的用户组。由于图片空间有限，并没有把项目管理组呈现出来，每一个企业项目都应该设置独立的项目管理组。 需要注意的是，这种方式将统一管控的范围限制在了部门级（对应子账号），无法做到公司级（对应主账号）的统一管控，对大企业比较合适，中小企业则应该在公司级（主账号）下创建统一管控资源的用户组。 除了在每一个部门（子账号）创建一个财务管理组之外，也需要在公司层面（主账号）下创建一个财务管理组，统一在华为云上充值、申请信用额度和激活代金券，再划拨给各个子账号，定期核算企业在华为云的消费情况。 图1 部门A和子部门A3的用户组规划 涉及到的操作如下： 创建用户组：您可以通过统一身份认证服务（IAM）来创建用户组。 父主题： 云上IT治理最佳实践

步骤三：规划和创建企业项目（操作主体：子账号） 如果1个IT项目中的应用系统需要部署到多个运行环境（生产环境、开发环境和测试环境），为了做好项目成员的权限控制，应该按照这个应用系统所需的运行环境在华为云上创建不同的企业项目。也就是说1个IT项目可以映射到华为云上的多个企业项目，如图1和图2所示。 以集团公司的部门A为例，该部门在上云前管理两个IT项目A1和A2，这两个IT项目的应用系统都需要部署在生产环境、开发环境和测试环境。接下来就用部门A的子账号登录华为云，进入项目管理控制台为IT项目A1创建3个企业项目：A1生产、A1开发、A1测试，再为IT项目A2创建3个企业项目：A2生产、A2开发、A2测试。通过这种方式划分企业项目，再结合后面的用户组划分和权限设置，可以确保开发组成员只能看到开发环境的云资源，测试组成员只能看到测试环境的云资源。 以子部门A3为例，该部门在上云前直接管理2个IT项目A31、A32，以及下属部门A33（该部门没有映射到华为云）管理的IT项目A331。A31只需要生产和开发环境，A32只需要生产和测试环境，A331只需要开发和测试环境，接下来就用部门A3的子账号登录华为云，进入项目管理控制台为IT项目A31创建2个企业项目：A31生产、A31开发，为IT项目A32创建2个企业项目：A32生产、A32测试，为IT项目A331创建2个企业项目：A331开发、A331测试，如图1所示。 分公司F下的IT项目F1 只需要生产环境，那么就用分公司F的子账号登录华为云为IT项目F1创建1个企业项目：F1生产。子公司C、子公司D、孙公司D1下面的IT项目到企业项目的映射就不赘述了，如图2所示。 涉及到的操作如下： 企业项目的应用场景：在规划企业项目之前，您可以先了解企业项目的应用场景。 如何开通企业项目：企业账号可申请开通企业项目。如果您的账号未进行实名认证，请先进行企业实名认证。如果企业账号注册成为华为云合作伙伴，将无法进入企业项目管理页面。如果您的账号已进行个人实名认证，则需将账号升级为企业账号，才可以申请开通企业项目，具体请参见如何变更为企业账号。 如何进入项目管理页面：若您的企业账号已进行实名认证并已申请开通企业项目，可按此步骤进入项目管理页面。 创建企业项目：您可以根据部门或者业务，创建对应的企业项目。创建企业项目的用户必须是管理员，或在IAM侧已关联EPS FullAccess策略的用户。每个主账号默认可以创建100个企业项目。 集团公司或大的子公司不推荐直接管理IT项目，而是由下面的部门或分公司（对应华为云上的子账号）管理IT项目。 每个主账号或子账号下面有一个默认企业项目default，该项目由系统自动生成，未选择企业项目的云资源会被放到default项目内。 父主题： 云上IT治理最佳实践

步骤九：开启云审计（操作主体：安全管理组成员） 使用一个安全管理组的成员登录华为云，进入云审计服务的控制台，开通云审计服务，将会生成一个名为“system”的管理事件追踪器，开通云审计后系统将自动跟踪当前租户在当前区域（Region）内所有云资源的操作记录。云服务审计仅保存近7天的操作记录，如果需要保存更长时间的操作记录，需要开通OBS（ 对象存储服务 ）转储，将操作记录长期保存到OBS中。开通云审计服务可以满足企业的安全审计和合规要求。 接下来创建关键操作通知，在发生特定操作（如创建或删除资源）时，使用SMN（ 消息通知 服务）主题，向用户手机、邮箱发送消息，也可直接发送http/https消息。可用于实时感知高危操作、触发特定操作或对接租户自有审计分析系统。 CTS（云审计服务）的作用范围是区域级，如果租户同时在多个区域订购了资源，需要分别在这几个区域开通云审计服务和关键操作通知。 父主题： 云上IT治理最佳实践

步骤六：规划和创建VPC（操作主体：网络管理组成员） 以上面集团公司为例，需要针对每个子账号（部门A、部门A3、分公司F）提供多种运行环境：生产环境、开发环境、测试环境，各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通，具备很好的隔离性，所以推荐在大企业中采用VPC来创建隔离的运行环境，通常一个VPC对应一个隔离的运行环境，推荐的VPC规划如图1所示，具体考量因素如下： 一个VPC不能跨子账号，所以不能让不同子账号下面的企业项目共享一个VPC，每个子账号都有自己独立的生产、开发和测试VPC。 在生产环境内，由于安全隔离要求较高，将各个企业项目的应用系统和数据库系统放在不同的子网，通过网络ACL或安全组对子网间通信进行安全访问控制。 在开发和测试环境内，企业项目A1开发、A1测试、A2开发、A2测试、A31开发对安全隔离要求较高，在开发、测试环境中也要求将应用系统和数据库系统部署在不同的子网；而企业项目A32测试、A331开发、A331测试对安全隔离要求较低，在开发、测试环境中将应用系统和数据库系统部署在同一个子网。 同一个企业项目在同一运行环境的应用子网和数据子网建议尽量放在同一个可用区内，应用系统和数据库系统之间进行跨可用区通信会引入1-2毫秒的网络时延。例如，企业项目“A1生产”对应的两个子网“A1应用子网”和“A1数据子网”应该设置为在同一个可用区。 需要考虑不同子账号下的应用系统之间的交互关系，如果位于不同子账号下的应用系统需要互通，这对应的VPC的网段就不要产生冲突。例如，如果部门A下面的A1生产系统需要与部门A3下面的A31生产系统进行交互，则对应的两个VPC“VPC_部门A_生产”和“VPC_部门A3_生产”的网段不能冲突。 有频繁交互关系的VPC尽量创建在同一个区域内，否则跨区域的VPC通信需要额外购买带宽包。 图1 集团公司的VPC规划 规划完VPC之后需要在华为云上将其创建出来，以集团公司的部门A为例，使用一个网络管理组的成员登录华为云，进入VPC控制台，按照图1的VPC规划为部门A创建生产、开发、测试VPC，并为每个企业项目创建相应的应用子网和数据子网。由于这几个VPC内的网络由多个企业项目共享使用，所以创建这些VPC的时候，可以选择归属到default企业项目。 涉及到的操作如下： 网络规划：在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。 创建虚拟私有云和子网：当创建新账户或账户余额不足时，主账号可以对现金账户进行充值操作。 父主题： 云上IT治理最佳实践

划拨信用额度 企业主子账号支持财务托管/财务独立关联模式后，新增的企业主账号，选择财务独立模式关联企业子账号，并给子账号划拨信用额度，企业主、子账号将分别对各自的信用消费进行还款，不再由企业主统一还款。 进入“资金拨款与开票”页面。 选择主账号下需要划拨资金的子账号。 单击操作列的“拨款”。 进入“拨款”页面。 单击“信用额度”选项框。 进入“信用额度”页面。 设置拨款额度，单击“确定”。 系统提示“资金安全验证”弹窗。 拨款额度不能大于可拨款额度。 进行身份二次验证。 选择验证方式。 单击“获取验证码”后，在输入框中填写正确的验证码。 单击“确定”。 系统提示提交操作成功信息。 进入企业中心“总览”页面，可以开通或关闭资金安全验证功能。如您已经在“总览”页面打开开关才会执行该步骤，如未开启，则不需要。开通或关闭该功能，请参考设置资金安全。 单击“继续拨款”进入“拨款”页面或单击“返回拨款与开票”返回“资金拨款与开票”页面。

划拨代金券 企业主账号给子账号发的代金券，继承原有使用限制。比如到期时间、使用产品限制、券的类型等。 企业主账号划拨只支持一次抵扣的代金券时，仅可以将全部金额一次性划拨给企业子账号。 企业主账号不可以将折扣券划拨给企业子账号。 如果测试代金券已绑定测试项目，不能进行划拨。 进入“资金拨款与开票”页面。 选择主账号下需要划拨代金券的子账号。 单击操作列的“拨款”。 进入“拨款”页面。 单击“代金券”选项框。 进入“代金券”页面。 选择待拨款的代金券，设置“划拨金额”，单击“确定”。 系统提示“资金安全验证”弹窗。 如果代金券的“可划拨次数”为单次，则该代金券金额只能一次发放，不能设置“划拨金额”。 进行身份二次验证。 选择验证方式。 单击“获取验证码”后，在输入框中填写正确的验证码。 单击“确定”。 系统提示提交操作成功信息。 进入企业中心“总览”页面，可以开通或关闭资金安全验证功能。如您已经在“总览”页面打开开关才会执行该步骤，如未开启，则不需要。开通或关闭该功能，请参考设置资金安全。 单击“继续拨款”进入“拨款”页面或单击“返回资金拨款与开票”返回“资金拨款与开票”页面。

划拨账户余额 进入“资金拨款与开票”页面。 单个划拨 选择需要划拨资金的子账号，单击右侧操作列的“拨款”，进入“拨款”页面。 选择拨款方式“账户余额”，进入“账户余额”页面。 设置拨款金额，单击“确定”。 系统提示“资金安全验证”弹窗。 批量划拨 勾选需要划拨资金的子账号，单击左上角的“拨款”，进入“批量拨款”页面。 选择拨款方式“账户余额”，进入“账号检查”页面。 单击“下一步”为检查通过的子账号批量拨款。 设置拨款额度，单击“确认拨款”。 在“拨款额度”中设置的额度表示为所有子账号划拨相同的额度；也可以在“本次划拨金额”中为每个子账号账号单独设置不同的划拨金额。 您也可以单击子账号后的“移除”，移除不需要划拨余额的子账号。 拨款金额不能大于可拨款余额。其中，可拨款余额=账户余额-欠票金额。 系统提示“资金安全验证”弹窗。 进行身份二次验证。 选择验证方式。 单击“获取验证码”后，在输入框中填写正确的验证码。 单击“确定”。 系统提示提交操作成功信息。 进入企业中心“总览”页面，可以开通或关闭资金安全验证功能。如您已经在“总览”页面打开开关才会执行该步骤，如未开启，则不需要。开通或关闭该功能，请参考设置资金安全。 单击“继续拨款”进入“拨款”页面或单击“返回拨款与开票”返回“资金拨款与开票”页面。

操作场景 如果您需要查看当前账号下的资源，可以通过“资源清单”页面查看。 资源数据同步到Config存在延迟，因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户，Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源记录器所收集的资源数据，如果相关资源无法在资源清单页面查询到，请确认资源记录器是否开启，或该资源类型是否被资源记录器收集资源数据，如何配置资源记录器请参见配置资源记录器。 如您未开启资源记录器且需查看您拥有的资源信息，请前往我的资源页面查看。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 “资源清单”页面默认展示您拥有资源的服务，下方的资源列表默认展示您拥有的全部资源。 图1 资源清单默认页面 您可以通过关闭“仅显示有资源的服务和区域”开关，查看配置审计支持的所有服务。 图2 查看配置审计支持的所有服务 单击页面左上方的“已支持的服务和区域”按钮，界面将显示当前已支持的全部服务、资源类型和区域等信息。

场景介绍 账号A下有两个子用户和两个企业项目，子用户分别是User B和User C，企业项目分别是EnterpriseProjectB和EnterpriseProjectC。 需要实现： 用户User B只能查看和操作企业项目EnterpriseProjectB下的资源，不能查看和操作企业项目EnterpriseProjectC下的资源。 用户User C只能查看和操作企业项目EnterpriseProjectC下的资源，不能查看和操作企业项目EnterpriseProjectB下的资源。