云采用框架-身份和权限设计:用户组和权限规划
下载云采用框架用户手册完整版
用户组和权限规划
您可以参照之前CCoE的角色划分来规划 IAM 身份中心的用户组,将对应的员工加入与其职责匹配的用户组,下表为推荐的用户组划分方式,基于这些用户组的职责,按照最小授权原则,下表也推荐了应该给这些用户组设置访问哪些账号的哪些权限,您可以将其作为起点,精细化规划符合企业要求的用户组和权限。
|
用户组 |
用户组的职责 |
多账号访问权限的设置建议 |
|---|---|---|
|
财务管理组 |
统一管理成员账号的账单、成本、折扣、发票等财务元素 |
管理账号的BSS Administrator,BSS Finance等 |
|
IT治理组 |
创建和管理组织单元、成员账号和SCP策略 |
管理账号的Organizations FullAccess等 |
|
身份权限管理组 |
集中创建和管理用户、用户组,并集中配置权限、委托和SSO |
|
|
安全管理组 |
统一管控整个企业的安全策略、安全规则和安全资源,为其他账号设置安全配置基线,对整个企业的信息安全负责 |
所有账号下安全资源( 安全云脑 、HSS、DSC、DBSS等)的管理权限 |
|
合规审计组 |
统一查看所有账号的审计日志和安全相关的日志(如VPC流日志和OBS访问日志等) |
|
|
网络管理组 |
集中部署和管理企业的网络连接资源,如ER、VPN、DC、NATG等,统一创建和管理各个账号的VPC、子网和NACL;集中部署和管理网络边界安全防护资源,如WAF,CFW等 |
|
|
IaaS管理组 |
也叫云基础设施管理员,统一管理各个账号下的IaaS资源 |
|
|
PaaS管理组 |
也叫中间件管理员,统一管理各个账号下的中间件资源 |
|
|
自动化运维组 |
统一监控和运维各个账号下的资源 |
|
|
数据管理组 |
集中部署和管理企业数据平台,将其他成员账号的业务数据统一采集到数据平台进行存储、处理和分析 |
数据平台账号的Tenant Administrator权限 |
|
公共服务管理组 |
集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有成员账号使用 |
公共服务账号的Tenant Administrator权限 |
|
应用开发组 |
负责应用的开发工作和开发环境的管理工作 |
|
|
应用测试组 |
负责应用的测试工作和测试环境的管理工作 |
|
