总览
多账号管理架构
腾讯云多账号管理时,可以通过组织部门结构(OU)分类存放管理成员账号,在成员账号内可以通过标签(Tag) 区分不同业务的资源。通过控制中心(Control Center),组织 OU 会默认拆分为 Application 和 Core 两个目录,其中 Core 用来放置核心管理账号,Application 用来分类管理业务账号,OU 下可以按照企业的管理单元拆分子 OU。
Landing Zone 配置流程图
控制中心支持通过步骤化的方式快速完成 Landing Zone 云环境的搭建:快速完成账号结构规划、完成职能管理账号委派及初始化管理规则设置。
基于上述映射关系,推荐按照以下步骤完成设置和操作:
步骤一:管理部门架构
部门架构是企业资源管理的核心载体,也是多账号架构搭建的首要环节。
操作目的
依托腾讯云集团账号能力构建部门层级,可实现管理账号与业务账号的分类收纳、权限隔离,为后续精细化云治理奠定基础。
设置要求
需配置两类核心部门 OU:
Core(管理账号部门):存放安全管理、日志管理等委派账号。
Application(业务账号部门):存放承载具体业务的成员账号。
操作步骤
1. 根据企业实际需要创建核心管理账号部门节点和业务账号部门节点。具体操作请参见 管理部门结构。
说明:
如果您已经在集团服务管理中创建了部门节点,则可以选用已有部门作为以上两种部门节点。
3. 如果您需要对创建的部门信息进行调整:可以在集团账号管理 > 部门管理 页面中,选中需要调整的部门,变更部门名称或调整层级关系;或单击新建部门,根据需要创建新的部门 OU。
步骤二:管理核心账号
企业职能部门权责分明是控本核心,同理,搭建职能清晰的核心管理账号,是企业实现云上资源精细化管控的关键。
操作目的
通过专属核心账号聚焦专项管理,替代全权限管控,实现云上资源精准治理、高效管控。
设置要求
核心管理账号属于腾讯云集团账号下的成员账号,区别于普通成员账号,需承接集团管理员部分专项管理职能,需创建日志管理、安全管理两类核心账号,创建形式与集团服务管理中创建成员账号一致,财务权限及付费方式保持统一标准。
日志管理账号:统筹管理集团组织内所有成员的日志信息。
安全管理账号:统一管控集团账号下所有云安全中心等安全产品。
操作步骤
1. 根据实际需要,您可以通过新建或指定已有账号的形式创建日志管理账号和安全管理账号。具体操作请参见 管理核心账号。
3. 如果您需要对创建的核心账号进行调整:在控制中心 >组织与账号 页面或集团账号管理 > 部门管理 页面,单击对应的成员账号(日志管理账号、安全管理账号),可以对成员账号进行编辑;还可以在集团账号管理 > 成员账号管理 页面,单击添加成员,根据需要新建成员账号。
步骤三:设置企业财务策略
操作目的
通过 Landing Zone 默认财务策略与付费模式,实现集团财务统一管控,兼顾单个账号灵活调整,简化财务配置流程、规范付费管理。
功能说明
Landing Zone 会提供默认的企业财务策略和付费模式,企业财务策略为集团内通用,单个账号可按需调整,支持5种财务管理策略,需按指定账号配置。集团付费模式可为同主体成员代付费、为不同主体设置继承优惠。设置企业财务策略页面仅展示所有配置项,不支持自主设置,集团内主体自动显示当前及关联主体,详情请参见 设置企业财务策略。
涉及操作
在集团账号管理 > 认证主体管理中,可以查看主体管理列表,还可以为对应主体邀请成员和创建成员。
在集团账号管理 > 成员账号管理中,可以查看及编辑成员财务权限和付费模式。
步骤四:管理操作审计日志投递
操作目的
企业所有账号操作日志统一投递至指定位置,实现日志集中管理、分析,满足账号操作审计需求,规范账号管控。
操作步骤
1. 需在操作审计服务创建跟踪集,将集团所有成员的指定事件类型,投递至日志服务 CLS 或 COS 存储桶,若选择委派管理员账号下的已有存储桶,需先为操作审计服务委派管理员账号。详情请参见 使用跟踪集投递日志 。
2. 创建跟踪集后,在 Landing Zone 操作审计日志投递设置时可按需选择投递位置:CLS 可选用集团管理员账号下已有实例或新建实例;COS 可选择管理账号已有存储桶、委派管理员账号已有存储桶(需提前委派),或在管理账号下新建存储桶。详情请参见 管理操作审计日志投递。
4. 如果您需要对创建的跟踪集进行调整:可以使用创建目标跟踪集的账号进入 操作审计 > 跟踪集页面,选择对应创建的跟踪集,单击编辑,进入该跟踪集详情页面,您可以单击管理事件、投递位置等模块右上角的编辑,按需修改相关信息。详情请参见 设置集团账号跨账号日志投递。
步骤五:管理配置审计日志投递
操作目的
统一投递所有账号配置审计日志至指定位置,集中查看、管理企业账号资源变更记录,提升资源管控规范性与可追溯性。
操作步骤
1. 需在配置审计服务开启投递服务,将集团所有成员的资源配置变更历史,投递至日志服务 CLS 或 COS 存储桶,若选用委派管理员账号下的已有 COS 桶,需先为配置审计服务委派管理员账号。具体操作请参见 投递服务。
2. 开启投递服务后,在 Landing Zone 配置审计日志投递设置时可按需选择投递位置:CLS 可使用集团管理员账号下已有实例或新建实例;COS 可选择管理账号已有桶、委派管理员账号已有桶(需提前委派),或在管理账号下新建桶。详情请参见 管理配置审计日志投递。
4. 如果您需要对创建的投递服务进行调整:可以使用集团管理员账号进入配置审计 > 投递服务 页面,单击编辑,按需修改相关信息即可。
步骤六:开启防护规则
操作目的
配置防护规则打造安全的多账号环境,实现控制中心对防护规则的统一管理,便捷查看集团全量成员合规状态。
功能说明
防护规则基于配置审计产品已有规则进行配置,配置后会自动在配置审计中创建全局账号组并绑定对应规则。
操作步骤
1. 在腾讯云控制中心 Landing Zone 统一配置防护规则,以集团管理员账号身份,通过生成的全局账号组查看、管理集团所有成员的合规信息。详情请参见 管理防护规则。
2. Landing Zone 设置完成后,可以在控制中心 > 防护规则 页面,查看相关规则信息。
步骤七:管理身份权限
操作目的
借助身份权限管理能力,让企业管理员可便捷登录企业内任意账号,高效查看并管理账号资源。
功能说明
该能力基于集团账号管理的成员登录权限设置,可展示所有用户配置的登录权限信息。
操作步骤
1. 在 Landing Zone 设置 页面可以查看全量登录权限信息,单击权限名称可跳转至集团账号管理的成员登录权限设置页面,您可自主调整绑定策略。详情请参见 管理身份权限。
步骤八:邀请已有账号
操作目的
邀请企业现有腾讯云账号加入组织,实现所有账号统一管控,简化多账号管理流程、提升管理效率。
设置要求
集团账号管理的成员邀请功能支持快捷邀请与企业实名认证主体相同的账号,邀请成员需被邀请账号确认同意,且邀请信息 14 天内有效。
操作步骤
