阿里云Landing Zone系列--1云治理中心使用

已于 2022-04-06 16:35:51 修改
阅读量3.4k 收藏 1
点赞数 1
分类专栏: 阿里云 文章标签: 云计算 阿里云
于 2022-03-22 17:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/red___fox/article/details/123641676
版权

阿里云Landing Zone系列

第一章 阿里云云治理中心使用
补充-业务场景说明
第二章 资源目录之–多账号

文章目录

前言

对于Landing Zone来说,有多种实现方式, 人工,代码,或者云厂商推荐的工具,为了看一下阿里云自己的工具,我们选择先用云治理中心来做阿里云环境的治理工作,以此来做一个基准,看一下,使用阿里云自己的工具,实施云治理后,能够实现一个什么样的效果。

简单说,就是提供了一个工具,让用户在Portal中通过操作,快速搭建适合自己的Landing Zone

一、云治理中心是什么?

云治理中心是企业在阿里云上进行多账号集中IT治理的平台。通过步骤式向导和自动化流程帮助企业快速搭建Landing Zone,建立安全合规的多账号环境,并对企业在云上的多账号环境进行持续治理。

官网介绍
https://help.aliyun.com/document_detail/254854.html

二、云治理中心

1.开通并配置云治理中心服务

开通云治理账号时,需要注意几个问题:

  • 资源目目录的管理账号必须是云账号,而非RAM账号,或者已有的资源账号,并且,指定的云账号不能已在另外一个资源目录中。
  • 初始化时,需要指定(邀请其他账号作为财务结算账号)财务结算账号,若企业已经有财务结算账号,并且在其他的资源目录中,那么这个财务结算账号是无法被邀请的。

接下来,开始初始化,初始化包含4个任务

  • 1资源结构初始化
  • 2 审计日志投递初始化
  • 3防护规则初始化
  • 4 身份权限初始化

1 资源结构初始化 :包含4个子任务
任务1.1: 确认管理账号 :检查当前账号是否符合管理账号的要求
任务1.2 创建资源夹
任务1.3 指定财务结算账号
任务1.4 创建账号

2 审计日志投递初始化: 将配置审计和操作审计日志统一投递到日志账号。
这里面,主要是两个审计日志,一个是配置审计日志,一个是操作审计日志

3 防护规则初始化任务: 包含两个选项
A必选防护规则
*云治理中心指定存储审计日志的OSS存储空间未开启公共读写
*云治理中心指定存储审计日志的OSS存储空间开启服务端加密
*资源目录内所有云账号不存在Accesskey

  • 资源目录内所有云账号开启MFA认证
    *云治理中心用于提供服务的指定角色存在

B 推荐防护规则
* 所有ECS数据磁盘开启加密 发现型
*安全组不允许对全部网段开启风险端口
*安全组入网设置有效 发现型
*所有OSS存储空间未开启公共读写
*RDS实例开启TDE加密 发现型
*使用专有网络类型的RDS实例
*RDS白名单未设置为全网段
*RAM用户密码策略符合要求
*RAM用户不存在闲置AccessKey
*ECS实例开启释放保护
*SLB实例开启释放保护
这一步,存在一个问题,当我选择了推荐的全部时,会提示规则不能超过20个

4 身份权限初始化任务:主要是通过配置,实现SSO,这部分因为没有搭建IDP,暂时没有做。

2. 配置完成后的状况

这一圈下来后,产出如下:
1 资源目录:创建了一个资源目录,并且资源目录下,有2 core,application 两个子文件夹,同时,资源目录下包含了两个资源账logarchive,sharedservices
2 审计服务:创建了配置审计服务,以及操作审计服务
3 防护规则:包含了5个必选规则,11个强烈推荐规则,8个可选规则,以及其他未开启规则

在这里插入图片描述
大概就长这个样子,红圈部分的服务,截止22年3月,我没有找到这些功能有单独的菜单可以进入,基本都是云治理中心单独有的,也可能是我没找仔细。 其他都还好,就是合规审计这部分,防护规则,只能在云治理中心配置,这么说,我要做合规审计,只能到云治理中心去?先挖个坑,回头再填吧。

总结

感觉云治理中心主要的功能是面向缺少资源的客户,但又希望云端资源能够规范化,满足合规要求,那么使用云治理中心是一个快速实现目标的选择。但以下问题是需要思考还没有答案的:

1 假如我有资源和能力自己来做云资源的治理,比如,直接通过企业-》资源管理来创建资源目录,资源账号,分配权限等,那么,我是否需要用云治理中心呢?
2 假如我已有了资源目录,并创建了一些资源账号,做了一部分的治理工作,那么,我是否有办法在云治理中心中,导入这些配置,并补齐尚未建立的配置呢?看文档是可以的,但我没有实验成功,后续需要再试试
3 一个集团情况下,使用一个云治理中心统管所有原资源,还是基于各个子集团/公司,来设置多个云治理中心,分别给不同的账号用,若是后者,那么多个云治理中心怎么关联和同步来确保大的审计合规和管理呢?
4 多云情况下,集团/公司的管理如何在不同平台实现呢?各自管各自的,还是通过第三方厂商?
5 感觉云治理中心,主要围绕资源目录来实现,这部分可以通过Terraform等一些IaC方案来实现,那么Portal, Terraform等,如何选择呢?

red___fox
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
landing-zone:新手入门指南
03-17
着陆区 面向EngineerBetter新手的信息。 如果是您,那么欢迎您! 我们将保持简洁,以便更轻松地查找信息-希望通过其他媒体能够实现友好友好的欢迎。 您将使用的东西 在入职过程中将授予对这些内容的访问权限。 用于密码管理的 是我们针对CI / CD的中央大厅部署 看看仓库 分配 时间表的 故事管理 进行协作展示 用于人力资源/团队相关信息 要做的事情 阅读回购 将yubikey gpg密钥(用于签署提交)上传到GitHub 将yubikey公钥(用于GitHub服务器交互)上传到GitHub 配置yubikey MFA: 谷歌 AWS Azure(如果您有帐户) 的GitHub 1Password(添加yubikey设备之前,您需要先设置身份验证器应用) 在对我们使用的各种系统进行身份验证时,请始终偏爱Google SSO:thumpsup:
云计算阿里云治理中心_学习笔记
weixin_34200157的博客
11-29 2008
因为最近企业在上,总是在摸索一些从0到1的搭建捷径,少走弯路。 00.序言 今天学到的是阿里云治理中心,主要是方便企业用户设置多账号环境,构建资源目录,配置身份集成和权限分配,还有搭建网络架构等,十分便利。阿里云治理中心是企业多账号环境集中治理和管理的平台。帮助企业根据最佳实践设置Landing Zone多账号环境,设定基线对企业上环境进行持续治理和管理。https://www.aliyun.com/product/developerservices/governance?spm=5176.2
阿里云Landing Zone系列--场景说明
red___fox的博客
04-01 2284
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可
阿里云 Landing Zone 携手合作伙伴共建“上好阵营”
云布道师
09-22 252
基于阿里云今年的生态发展战略,与伙伴共享技术红利,帮助伙伴向多元化复合能力转变,携手不断夯实阿里云基础产品能力、打磨解决方案,共同促进高质量有效市场增长、共创上价值。8 月 18 日,阿里云在杭州顺利举办了首期「Landing Zone 合作伙伴技术训练营」,面向伙伴企业的核心架构师及工程师。
阿里云 Landing Zone 上好伙伴联盟正式起航
云布道师
11-09 151
11 月 4 日,2022 · 栖大会「数智聚力 创未来——跨国企业数字创新论坛」于杭州顺利召开,伴随着国家对“新基建”的高度关注,云计算对于推动产业发展发挥着重要作用。阿里云持续致力于做好数字经济时代的基础设施和企业的高质量伙伴,深化客户服务,助力企业成功。
landing-zone:使用CloudFormation的AWS LandingZone解决方案的供应商副本。 查看每个标签以查看当前着陆区。 使用git-diff显示差异
05-24
着陆区 使用CloudFormation的AWS LandingZone解决方案的供应商副本。 该存储库包含版本1.0.2到2.4.2之间的AWS LandingZone解决方案 可以在上找到AWS LandingZone的官方发行说明。 仓库结构 该存储库包含2个目录,分别为unzip和zip 。 压缩 zip目录包含各个着陆区版本的zip文件。 您可以直接使用zip文件,并将其解压缩到可以使用它们的地方。 解压缩 unzip目录包含从相应着陆区版本的zip文件中提取的最新着陆区文件。 取决于此存储库/ git标签的git-commit, unzip目录的文件内容也会更改。 这样就可以跟踪每个着陆区之间实际的文件更改是什么。 下载压缩文件 您可以使用downloadLandingZones.sh shell脚本自己下载zip文件。 该脚本将下载所有资源,包括那些有错别字的资源。
aws-landing-zone-initiation:AWS Landing Zone模板
05-24
该项目的目的仅是跟踪AWS Landing Zone模板中的更改。 预定支票 。 生成失败表示模板已更改。 添加自己 如果您偶然发现了该项目并希望收到通知,请随时提出请求,并将通知的配置添加到构建中。
cloudformation-aws-landing-zone:AWS Landing Zone模板v2.4.2(最新)
05-25
AWS Landing Zone可帮助您基于AWS最佳实践自动创建预配置,安全的多账户环境。 通过这种方式,您可以高效地将AWS扩展到企业:通过中央控制和监视以可重复的方式 :books: Refreence: 反馈 如果您遇到错误或有任何...
landing-page-template:使用此模板创建您的产品登陆页面!
05-30
演示使用此模板的步骤: 单击此页面的Use this template按钮。 输入存储库名称(由您决定!) 单击Create repository from template 等待生成直到完成根据您编辑index.html页面要将其托管在 GitHub Pages 中,请...
Bookmark-landing-page-master:前端导师挑战
03-27
根据设备的屏幕尺寸查看网站的最佳布局查看页面上所有互动元素的悬停状态提交时事通讯表单时,如果出现以下情况,则会收到错误消息: 输入字段为空电子邮件地址格式不正确对于此挑战,您需要: 使用代码创建圆形的...
terraform-aws-landing-zone:适用于AWS Landing Zone的Terraform模块
02-03
地形模块landing-zone 是一种解决方案,可帮助客户根据AWS最佳实践更快速地建立安全的多账户AWS环境。 该存储库包含terraform模块landing_zone ,该模块根据.tfvars文件的输入列表动态部署AWS Landing Zone解决方案的.tfvars 。 相关: 注意:当前实现与terraform v0.12 +完全兼容。 如果仍在使用terraform v0.11.x及以下版本,请切换到分支terraform_v0.11 。 快速链接:| | 该模块如何工作 Terraform模块基于准则,并包含以下文件夹: 根文件夹-模块的标准Terraform配置 -基于Yaml和terraform兼容的配置 -以不同方式将组件组合为该模块的一部分 -独立的,可重复使用的,可投入生产的模块 -在CI / CD管道中使用的一组自动化测试 该terraform模块需要以下先决条件/依赖项: 引用并验证 引用并验证 首先,只需将main.tf包含在您的terraform代码库中: module " landing_zone " { source =
阿里云Landing Zone系列--2 资源目录之--多账号
red___fox的博客
04-06 1460
系列文章目录 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、资源目录是什么?二、方案学习1.方案场景说明2.方案要点及理解总结 前言 上一篇学习了治理中心,感觉治理中心更像是面向缺少资源的客户,但又希望端资源能够规范化,满足合规要求,那么使用治理中心是一个快速实现目标的选择,并且,下面的几个问题,目前还没想清楚: 1 假如我有资源和能力自己来做资源的治理,比如,直接通过企业-》资源管理来创建资源目录,资源账号,分配权限等,那么,我是否需要用治理
安畅携手阿里云共建Landing Zone方案,助力企业上无忧
云布道师
01-09 209
伴随着国家对“新基建”的高度关注,云计算对于推动产业发展发挥着重要作用。为了更好的解决上、用市场的快速发展带来的客户服务需求,阿里云推出「Landing Zone生态合作伙伴授牌认证」,将更多优秀的伙伴企业引入阿里云生态圈。
阿里云治理中心正式上线,助力企业快速落地
阿里云技术
11-29 720
2021年11月1日,阿里云"治理中心"(Cloud Governance Center)产品正式上线,治理中心是基于企业IT治理的最佳实践,帮助客户快速搭建业务上的标准Landing Zone(上登陆区),实现各组织和团队在上的良好协同、降低风险和提升效率,最大化地发挥云计算所带来的价值。
你的专属资源管家!阿里云正式对外发布解析PrivateZone
阿里云云栖号
03-19 934
摘要: 近日,阿里云宣布解析PrivateZone正式对外公测,该产品是基于阿里云专有网络VPC(Virtual Private Cloud)环境的私有域名解析和管理服务,使用户在自定义的一个或多个专有网络VPC中快速构建DNS系统,将私有域名映射到IP地址。原文地址: http://click.aliyun.com/m/44044/近日,阿里云宣布解析PrivateZone正式对外公测,该产...
一张图看懂阿里云解析PrivateZone
weixin_34409703的博客
04-02 158
摘要: 近日,阿里云宣布解析PrivateZone正式对外公测,该产品是基于阿里云专有网络VPC(Virtual Private Cloud)环境的私有域名解析和管理服务,使用户在自定义的一个或多个专有网络VPC中快速构建DNS系统,将私有域名映射到IP地址。近日,阿里云宣布解析PrivateZone正式对外公测,该产品是基于阿里云专有网络VPC(Virtual Private Cloud)环...
云计算-安全威胁与威胁代理(Cloud Security Threats and Agents)
最新发布
qq_54813250的博客
05-20 544
用户、组和全局访问,其中用户是文件的所有者,分配了组的用户可以访问文件,全局访问适用于所有用户。基于的系统更复杂,因为在基于的系统中存在重叠的信任边界。例如,当我们在实验室会话中创建 Amazon EC2 实例时,Unix 版本是由亚马逊配置的某个 Unix 版本,并安装了某些 Unix 软件的版本。当我们说“经过验证”时,我们指的是提供商在多次部署中使用了此镜像,或者对此镜像进行了广泛的测试。您应该注意,在真实的系统中,某些术语可能有所不同,但概念是相同的。威胁代理可以是内部的或外部的。
云计算-系统背后的技术 (Technologies Behind Cloud Systems)
qq_54813250的博客
05-20 835
因为它将支持一个物理服务器上的多个虚拟服务器,它必须能够管理CPU使用、内存使用、多个网络地址和端口(每个虚拟机不同),分隔的辅助存储等。它必须让每个虚拟服务器上的软件认为它在自己的物理服务器上运行,并确保一个虚拟服务器上的软件不会干扰另一个虚拟服务器上的软件。在这样的系统中,每个租户或客户都有他们的数据存储和处理的独立个人空间。它是一个将应用程序的物理实例的许可证密钥在企业的不同用户之间共享的过程。随着技术的进步,一些用户的担忧正在消散,但这需要仔细考虑服务和通信技术是否足够先进,以满足您的要求。
阿里云服务器ECS运行node服务
Vinca@的博客
05-15 696
本文介绍如何在(CentOS 7.9 64位)操作系统的ECS实例上,安装Node.js并部署测试项目。使用工具:FinalShell4.3.10。
火箭升空matlab代码-launch-and-landing-of-falcon-9-rocket
09-30
火箭升空是现代航空航天领域的重要环节之一,而MATLAB是一种广泛应用于科学计算和工程领域的编程语言。下面是一个使用MATLAB编写的“火箭升空与返回”(Launch and Landing of Falcon 9 Rocket)的示例代码: 首先,我们需要引入MATLAB中的一些函数库,比如参数拟合和数值计算的工具箱。接下来,我们定义一些物理参数,如火箭的质量、加速度、空气阻力等。 在主程序中,我们通过数值积分方法模拟火箭升空的过程。利用牛顿第二定律,我们可以计算出火箭的加速度,并更新其速度和位置。同时,我们也要考虑空气阻力对火箭运动的影响。 当火箭达到所期望的高度或速度时,我们进入火箭返回的阶段。在这个阶段,我们需要考虑火箭的降落速度和姿态控制。通过调整火箭的姿态和喷射推力,我们可以实现平稳的降落,并确保火箭安全返回。 最后,我们可以通过绘制火箭高度、速度和加速度的曲线图来分析火箭升空和返回的过程。这些曲线图可以帮助我们评估火箭性能和控制策略的有效性。 通过以上的MATLAB代码,我们可以对火箭的升空和返回进行模拟和分析。这样的仿真可以帮助我们了解火箭运动的动力学特性,并优化火箭的设计和控制策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值