检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
种运行环境:生产环境、开发环境、测试环境,各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通,具备很好的隔离性,所以推荐在大企业中采用VPC来创建隔离的运行环境,通常一个VPC对应一个隔离的运行环境,推荐的VPC规划如图1所示,具体考量因素如下: 一个VPC不能跨
IAM项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。 在IAM项目中的资源不能转移,只能删除后重建。 企业项目 企业项目针对企业在全部区域内的资源进行分组与管理,是逻辑隔离。 企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。 如果
数据保护技术 静态数据保护 企业项目管理服务不提供更改、添加或删除华为云资源的方法。企业项目管理服务收集以下特定用于企业项目的信息。 名称 描述 类型 状态 传输中的数据保护 数据传输到企业项目管理服务内部数据库的过程中使用加密协议。此部分用户不可配置。 调用企业项目管理服务接口
资源账号与普通的财务托管子账号有哪些差异? LandingZone解决方案下,资源账号是最小的资源隔离单元,是企业内部安全管理时仅用于承载云资源的账号,服务于企业内部资源管理和安全管理。 企业主账号通过组织服务创建资源账号后,资源账号与企业主账号建立托管关系。与普通财务托管子账号
企业管理服务本身不收取费用,但企业项目下的资源需要支付相应费用。 资源隔离 IAM通过在区域中创建子项目,隔离同一个区域中的资源。以子项目为单位进行授权,用户可以访问指定子项目中的所有资源。 企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项
统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。 综上,企业项目管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,推荐A公司使用企业项目管理服务进行项目资源管理,
用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。 企业项目 企业项目是项目的升级版,针对企业不同项目间的资源进行分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。 关于企业
安全 责任共担 身份认证与访问控制 审计与日志 数据保护技术 父主题: 项目管理
图1 企业架构示意图 图2 华为云解决方案示意图 按组织架构+业务项目划分场景 企业可以根据组织架构,按组织划分企业项目,且子账号之间资源隔离,网络互不相通。 客户场景:某集团公司下面有两个子公司(子公司A和子公司B),每个子公司分别有3个部门,要求按部门实现人员、资源和财务的独立管理。
设置资金安全 您可以在总览页面开启或关闭资金安全二次验证功能,开启后,拨款、回收等敏感操作需输入验证码进行身份二次验证。 操作步骤 此处以开通资金安全为例,关闭操作请参考开通操作。 进入“总览”页面。 在页面下方的“资金安全设置”区域,单击。 系统提示“资金安全验证”弹窗。 选择验证方式。
设置资金安全 您可以在总览页面开启或关闭资金安全二次验证功能。开启安全验证后,对财务托管子账号操作“限制购买”和“取消购买限制”,以及对财务独立子账号拨款、回收等敏感操作需输入验证码进行身份二次验证。 操作步骤 此处以开通资金安全为例,关闭操作请参考开通操作。 进入“总览”页面。
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后,CTS可记录企业项目管理服务的操作事件用于审计。
应有的权限,并将其加入相应的企业项目,实现人员授权。 步骤4:购买资源并关联企业项目:在云服务控制台购买资源,并选择所属企业项目,实现资源隔离。 后续操作:企业项目管理:在企业项目管理服务控制台进行人员、资源、财务管理。 开通并创建企业项目 通过本节在企业项目管理控制台创建名为“
身份认证与访问控制 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理、访问控制和身份认证的基础服务,您可以使用IAM创建和管理用户、用户组,通过授权来允许或拒绝他们对云服务和资源的访问,通过设置安全策略提高账号和资源的安
步骤五:授予权限(操作主体:子账号) 表2中的用户组有不同的权限级别,权限级别为账号的用户组,如计算管理组、存储管理组、网络管理组等,其权限在IAM中授予。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,其权限在企业项目中授予。 以集团公司的部门A为
步骤九:开启云审计(操作主体:安全管理组成员) 使用一个安全管理组的成员登录华为云,进入云审计服务的控制台,开通云审计服务,将会生成一个名为“system”的管理事件追踪器,开通云审计后系统将自动跟踪当前租户在当前区域(Region)内所有云资源的操作记录。云服务审计仅保存近7天
步骤八:订购和使用云资源(操作主体:具备权限的用户) 创建好VPC和子网后,就可以为各个企业项目订购云资源了。首次在华为云上订购云资源时,往往会一次性订购大量的云资源,涉及的资源类型也很多,包括计算、存储、网络、数据库、安全、大数据等云资源,如果使用不同权限的用户组分别订购的话,
不同企业(单位名称不同的母、子、分公司)如何申请企业管理账号? 请按照以下步骤操作: 请各企业在华为云官网账号注册, 并进行企业实名认证。 选取其中一个账号开通企业主账号功能,并邀请已经企业实名认证的其他账号关联为其企业子账号。邀请其他账号关联为企业子账号请参见如何邀请关联账号,法人类型选择“不同法人”。
步骤十:资源合规检查(操作主体:admin组成员) 使用一个admin组的成员登录华为云,进入配置审计控制台,添加资源合规规则,可以直接选用系统内置预设策略快速添加一组合规规则,用于评估资源是否满足合规要求。添加资源合规规则时可以指定评估的资源范围,还可以通过资源ID或标签指定资
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
