初创企业IT治理样板间,企业进行阿里云账号初始化的最佳姿势

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 本方案是结合阿里云服务众多企业客户的实践经验,总结沉淀的面向不同企业(初创企业、标准企业、集团企业)的3套IT治理全链路解决方案,希望帮助您在上云道路上走的更稳、更快、更远。

标题.jpg

企业IT治理是指企业为了满足内外部的安全、合规、运维、管理要求,而对云上IT资源采取的一系列规划和管理手段。无论您的企业有多大规模,处于上云的何种阶段,都应该了解、实施一定的企业IT治理方案,以期获得云上安全与运维效率的最佳平衡。本方案是结合阿里云服务众多企业客户的实践经验,总结沉淀的面向不同企业(初创企业、标准企业、集团企业)的3套IT治理全链路解决方案,希望帮助您在上云道路上走的更稳、更快、更远。

概述

A科技是一家刚刚成立不久的互联网初创企业,在阿里云上购买资源开展业务。初期成员包括联合创始人CEO小张,CTO小王,将带领20人的产品和研发团队,公司还有销售、财务、HR等团队。CTO小王在阿里云注册了一个账号,并以公司名义完成了实名认证,交由技术部门2人整体负责阿里云资源的运维和管理,财务1人负责云资源的账单、发票等事宜,其他技术人员依据分工使用不同的云资源完成自己模块的开发与应用运维(即DevOps)工作。

作为初创企业,A科技公司上下自然将业务增长作为了首位目标。然而,在云资源的管理上,如果前期没有花一点时间做一点初步的规划,随着公司顺利成长壮大,风险也将会随之而来。我们举几个例子:

• 小王为了管理方便,直接把主账号交给了两位运维负责人。问题:主账号拥有云资源的所有权限,一旦发生密码泄露等事故,公司所有云上资产都将受到威胁。
• 运维管理员为了方便,创建了一些“公共账号”给各团队使用。问题:由公共账号进行操作,无法区分的具体操作人员,也就无法有效进行云资源相关的问题排查、故障修复。
• 在为不同员工配置权限时,为了简化操作,都授予了全局管理员权限。问题:随着员工分工越来越细,资源规模越来越大,这些早期的高权限用户可以接触到自己本不该访问的资源,极易出现事故。

事实上,这些问题都不难解决。我们建议当您注册了一个新的阿里云账号之后,先不要立刻开始使用云上资源构建业务系统,相反,需要先花一点时间来进行一些初步设置,我们称之为IT治理基础环境配置。这是为了保持您账号最基本的安全性、运维便捷性而进行的最小化配置,大致包含以下内容:

• 完成账号注册、实名认证等使用阿里云的先决操作
• 完成主账号安全加固
• 创建用于管理操作的RAM用户,从而最大化减少主账号的使用
• 完成基本的用户组配置,方便后续RAM用户的简单授权
• 完成基础的网络和安全配置

在完成后,您将会获得一个基础环境,如下图所示,其中标有颜色的色块和线条是本指南将进行搭建的部分。在基础环境搭建完成后,接下来您可以在此基础上进行业务系统的建设。

1.png

我们建议每个企业都应该至少完成本指南所描述的IT治理基础环境配置。但是,当您的企业规模扩展到一定程度,如拥有5人以上的云基础设施运维团队,超过50台ECS或其他资源,在云上同时运行超过5个研发项目,那么上述这些基础配置可能又将无法满足您企业的安全、合规、IT管理要求了。我们将在后续解决方案中描述对更大型企业的IT治理基础环境配置最佳实践。

代码指南

如果您对Terraform或Shell脚本较为熟悉,您也可以使用代码完成上述搭建流程。
点击查看Terraform代码
点击查看CLI代码

样板间使用

接下来,您可以执行以下步骤,在保证基本安全性的基础上,来完成业务系统的搭建了。

• admin用户作为云上的最高权限用户,可以授权给运维总监等管理员使用。建议将其改名为相应人员名称,以免共用账号。
• 对其他核心运维人员,为其创建专属RAM用户,并加入CloudAdminGroup组,以获取对云上资源的完全访问权限。
• 对业务研发/测试等团队人员,为其创建专属RAM用户,并加入SystemAdminGroup组。如果您的团队有更详细分工,可以进一步创建诸如DBA、网络管理员等用户组并授予合适产品的权限,再将人员加入相应的组。
• 对财务人员,为其创建专属RAM用户,并加入BillingAdminGroup组,以获取云上财务、账单的相应权限。
• 如果您的企业有统一的权限要求,例如只允许从公司内网访问阿里云(查看操作文档),您需要编写合适的自定义策略,并授权给CommonUserGroup组,之后,将所有需要进行此类规则限制的用户全部添加到组里。如果您没有此类需求,可以不使用该组。
• 为了使业务系统的程序可以访问阿里云账号,您需要给每个业务系统创建独立的RAM用户,授予需要的权限并创建AK。请注意不要在人员账号上直接创建AK,以免员工离职、转岗时无法处理AK。
• 根据需要,您可以搭建基础的公网访问方式(如NAT网关)、负载均衡、对象存储、监控与备份系统等。
• 接下来,就可以各司其职,由合适的用户进行创建ECS、配置CDN等业务操作,以最终完成您的业务系统搭建工作。

下面,我们使用一个简单的例子来为您讲解如何在账号初始化的骨架基础上搭建一个最简单的业务系统。
如下是该系统(命名为DemoSystem)的结构图,其使用者是研发团队的Alice。

2.png

为Alice创建用户
首先,需要admin用户为Alice创建一个RAM用户,并将Alice加入到SystemAdminGroup组。接下来,Alice就可以以她自己的用户登录并开始搭建系统了。

创建ECS服务器
由于我们已经创建了基本的VPC、VSwitch和安全组,我们直接使用这些基础设施创建两台ECS即可。

配置负载均衡SLB
需要执行一下操作以配置SLB。
• 创建SLB,默认没有公网地址
• 创建EIP并与SLB绑定
• 启动SLB的HTTP的监听,对外80,对后8080
• 将上面的两台ECS加入负载均衡

配置数据库
同样,在基本的VPC、VSwitch和安全组基础之上,我们只需要直接创建一个RDS实例,包含以下步骤。
• 创建一个RDS Mysql实例
• 创建一个高权限用户
• 创建一个database实例

部署业务代码
接下来,就可以在ECS和RDS中部署您的业务代码,并对外提供服务了。
如果这个DemoSystem系统需要访问您的其他阿里云资源,则您应该要求CloudAdminGroup组中的某个用户为DemoSystem创建一个新的RAM用户,为其创建一个AK,并授予DemoSystem所需要的权限。例如DemoSystem需要访问对象存储OSS中的数据(查看授权案例)
请特别注意保管好为DemoSystem创建的AK,避免泄露。关于AK保护,您可以参阅此篇最佳实践

总结

本方案为您介绍了最基本的阿里云账号初始化操作,其不包含任何业务系统,目的是通过定义基本的用户访问框架,并配合一些后续使用原则来保证账号的基础安全性。这个简单框架并不能涵盖一个典型企业的完整IT治理需求,因此您可以在此基础上根据自己企业的实际情况进行补充和裁剪。此外,我们还将针对更复杂的场景,推出面向大企业客户的IT治理整体解决方案,敬请期待。

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
相关文章
|
数据处理 数据库 CDN
阿里云为中小企业推出的专属上云补贴申请流程及注意事项介绍
中小企业专属上云补贴权益是阿里云为企业级用户推出的获取上云解决方案和专属补贴政策,用户通过上云补贴权益可获得官方专业人员指导上云,如果你不知道应该选购哪些云产品及具体配置,官方专业人员可根据您的预算及使用场景为您推荐适合您的上云解决方案,另外还可以获得专属代金券等上云补贴。有的用户还不清楚具体申请流程及注意事项,下面小编做个介绍。
666 0
阿里云为中小企业推出的专属上云补贴申请流程及注意事项介绍
|
弹性计算 人工智能 运维
阿里云计算巢产品负责人何川:以技术手段解决ISV伙伴的业务难题
阿里云计算巢产品负责人何川带来了题为《以技术手段解决ISV伙伴的业务难题-计算巢产品规划与生态策略解读》的主题分享。
阿里云计算巢产品负责人何川:以技术手段解决ISV伙伴的业务难题
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(下)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(下)
|
运维 监控 API
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(上)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(上)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(中)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(中)
|
存储 缓存 运维
企业上云方案:阿里云企业六大通用场景为企业提供多场景、一站式上云服务
阿里云为企业提供企业上云、企业初创必备、数字营销、企业办公、企业安全、企业数据六大上云场景、一站式上云服务(解决方案),为企业提供多场景、一站式上云服务,满足企业各个发展阶段的软硬件需求,助力您的事业腾飞!
831 1
企业上云方案:阿里云企业六大通用场景为企业提供多场景、一站式上云服务
|
存储 运维 监控
云上企业财务经营管理解决方案-企业多组织|学习笔记
快速学习云上企业财务经营管理解决方案-企业多组织。
云上企业财务经营管理解决方案-企业多组织|学习笔记
|
新零售 运维 安全
迪卡侬建立云上身份权限体系加码云建设
迪卡侬中国在业内率先进入全云时代,同时也是在全球范围内首次实现云服务属地化。在这场关键的数字化转型进程中,如何与阿里云产品研发团队碰撞思路火花,在云上管理身份权限体系的建设中,联手孵化和打造一款”完美”契合企业需求的产品,以及阿里云如何践行一直以来“客户第一”的原则。
迪卡侬建立云上身份权限体系加码云建设
|
运维 供应链 安全
企业云管理服务架构师(CSE)系列之从销售视角看等级保护的云服务过程的意义
记一次给企业客户做阿里云等保服务的咨询、交付的心得总结,希望对大家有帮助
410 0
企业云管理服务架构师(CSE)系列之从销售视角看等级保护的云服务过程的意义
|
监控 安全 数据可视化
阿里云云治理中心正式上线,助力企业快速云落地
2021年11月1日,阿里云"云治理中心"(Cloud Governance Center)产品正式上线,云治理中心是基于企业IT治理的最佳实践,帮助客户快速搭建业务上云的标准Landing Zone(上云登陆区),实现各组织和团队在云上的良好协同、降低风险和提升效率,最大化地发挥云计算所带来的价值。
481 0
阿里云云治理中心正式上线,助力企业快速云落地