检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤六:规划和创建VPC(操作主体:网络管理组成员) 以上面集团公司为例,需要针对每个子账号(部门A、部门A3、分公司F)提供多种运行环境:生产环境、开发环境、测试环境,各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通,具备很好的隔离性,所以推荐在大企业中采用V
理组、存储管理组、网络管理组等,其权限在IAM中授予。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,其权限在企业项目中授予。 以集团公司的部门A为例,使用部门A的子账号登录华为云,进入IAM控制台,为计算管理组、存储管理组、网络管理组、安全管理组、
创建好VPC和子网后,就可以为各个企业项目订购云资源了。首次在华为云上订购云资源时,往往会一次性订购大量的云资源,涉及的资源类型也很多,包括计算、存储、网络、数据库、安全、大数据等云资源,如果使用不同权限的用户组分别订购的话,来回切换用户组不是很方便,所以建议首次订购时直接使用admin组下的
企业项目发生变化可能会影响其关联的用户的权限,但其下的资源所关联的VPC和网段不会变化。 资源从一个企业项目迁移到另一个企业项目,不会影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是,如果您有基于企业项目范围的授权策略,则资源所属企业项目发生变更,可能会导致用户对资源访问权限的
用途的资源)集中在一起,按企业项目的方式来管理云资源。 资源从一个企业项目迁移到另一个企业项目,不会影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是,如果您有基于企业项目范围的授权策略,则资源所属企业项目发生变更,可能会导致用户对资源访问权限的
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
FullAccess SDRS Administrator CBR FullAccess DSS FullAccess 网络管理组 账号 该组成员负责统一管理和运维账号下所有的网络资源,包括VPC、弹性负载均衡、VPN、云专线、DNS、NAT、CDN等 VPC FullAccess ELB
通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region
云硬盘 EVS 磁盘 云备份服务 CBR 存储库 内容分发网络 CDN 域名 弹性文件服务 SFS 文件系统 高性能弹性文件服务 SFS Turbo SFS Turbo 虚拟私有云 VPC 虚拟私有云 安全组 IP地址组 网络ACL 公网带宽 Bandwidth 共享带宽 弹性公网IP
页。 通过页面右上方的“创建资源”或“网络规划”入口,为该企业项目添加需要的云资源。 图2 在企业项目中创建资源 “创建资源”仅支持常用的四种云资源购买入口:弹性云服务器 ECS、云硬盘 EVS、弹性公网IP EIP、数据库 RDS。 “网络规划”中提供三种云资源购买入口:虚拟私有云
级服务。 项目级服务需要获取项目级别的Token,此时请求body中auth.scope的取值为project。 全局级服务需要获取全局级别的Token,此时请求body中auth.scope的取值为domain。 调用本服务API需要全局级别的Token,即调用获取用户Token接口时,请求body中auth
用系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 功能小组:参与IT项目的成员按照职责不同可以划分为不同的功能小组,如一个ERP项目可以划分为计算组、存储组、网络组、安全组、数据组、应用组、财务组、系统管理员组等。 成员
cannot be modified. 默认企业项目不能修改 默认企业项目不能修改 400 EPS.0013 Invalid action. 无法识别的操作类型 请检查操作类型 400 EPS.0014 The disabled enterprise project cannot be modified
企业架构示意图 图2 华为云解决方案示意图 按组织架构+业务项目划分场景 企业可以根据组织架构,按组织划分企业项目,且子账号之间资源隔离,网络互不相通。 客户场景:某集团公司下面有两个子公司(子公司A和子公司B),每个子公司分别有3个部门,要求按部门实现人员、资源和财务的独立管理。
说明: 由于包年/包月产品的订单支付权限是账号级的,而Enterprise Project BSS FullAccess权限是针对IAM用户级别的,所以Enterprise Project BSS FullAccess权限不包括支付包年/包月产品的订单。 企业资产管理员 表2 常用操作与系统权限的关系