基于項(xiàng)目與部門管理公有云資源
在企業(yè)中碍讯,常常以項(xiàng)目的維度進(jìn)行人員属瓣、資源和費(fèi)用管理,對(duì)項(xiàng)目組成員進(jìn)行適當(dāng)授權(quán)棒仍,降低安全風(fēng)險(xiǎn)悲靴。在公有云上如何實(shí)現(xiàn)多項(xiàng)目的資源管理以及不同人員分權(quán)運(yùn)維,一直是企業(yè)上云之后的關(guān)注點(diǎn)之一莫其。
一癞尚、分權(quán)管理建議
在于多位企業(yè)IT運(yùn)維總監(jiān)及其員工交流后耸三,有的授權(quán)做的并不好,往往存在越權(quán)查看甚至操作資源的情況浇揩;部分會(huì)以標(biāo)簽的形式來管理吕晌,但是標(biāo)簽太多往往會(huì)把問題弄得更加復(fù)雜,是否有更簡單的方式按照項(xiàng)目管理資源和出賬呢临燃?
華為云提供的企業(yè)管理服務(wù)(EPS) + 統(tǒng)一身份認(rèn)證(IAM)兩項(xiàng)服務(wù)睛驳,可以輕松實(shí)現(xiàn)按照項(xiàng)目、用戶進(jìn)行云資源管理和賬單統(tǒng)計(jì)膜廊,同時(shí)又能對(duì)權(quán)限進(jìn)行細(xì)粒度管理乏沸,讓上云之后的運(yùn)維更加安全。
如果完全不知道華為云EPS爪瓜、IAM以及權(quán)限管理的基本概念蹬跃,建議可以先查看華為云EPS和IAM的簡要介紹,這樣實(shí)踐起來會(huì)容易一些铆铆。
二蝶缀、實(shí)踐場景說明
為了更好理解華為云的資源管理、企業(yè)項(xiàng)目和人員權(quán)限薄货,先來看一個(gè)實(shí)踐案例翁都,然后再介紹企業(yè)項(xiàng)目和統(tǒng)一身份認(rèn)證的關(guān)系,示例中包括了自定義權(quán)限JSON代碼谅猾,也可以根據(jù)自己的實(shí)際情況來修改柄慰。
在實(shí)踐案例中,項(xiàng)目(或者業(yè)務(wù))包含兩個(gè)部分:泛微OA應(yīng)用(業(yè)務(wù))和數(shù)據(jù)中心遷移項(xiàng)目(項(xiàng)目)税娜;同時(shí)在統(tǒng)一身份認(rèn)證中包含了3個(gè)用戶和角色:泛微OA運(yùn)維組坐搔、數(shù)據(jù)中心遷移項(xiàng)目組、公司財(cái)務(wù)部敬矩,如下圖概行。
- 所有資源部署在華為云華東-上海一,分別分布在泛微OA應(yīng)用和數(shù)據(jù)中心遷移項(xiàng)目兩個(gè)業(yè)務(wù)中弧岳。
- 泛微OA應(yīng)用需要使用ECS(云主機(jī))凳忙、EVS(云硬盤)、CBR(備份服務(wù))缩筛、OBS消略、VPC堡称、EIP瞎抛、帶寬。
- 數(shù)據(jù)中心遷移項(xiàng)目却紧,簡稱項(xiàng)目A桐臊,需要使用ECS胎撤、OBS、VPC断凶、EVS伤提、IMS、RDS服務(wù)认烁。
用戶分權(quán)要求
- 泛微OA運(yùn)維組負(fù)責(zé)運(yùn)維泛微OA相關(guān)的所有資源肿男,可以新建,但是不能刪除却嗡。
- 項(xiàng)目A的人員可以管理項(xiàng)目A中的資源舶沛,包含刪除權(quán)限。
- 泛微OA運(yùn)維人員和項(xiàng)目A人員僅可查看自己的資源窗价,不可互看如庭。
- 賬單管理人員查看所有資源的賬單,可以看到泛微OA和項(xiàng)目A的各自消費(fèi)撼港,但是不能管理資源坪它。
三、實(shí)踐步驟
根據(jù)場景需求帝牡,完成授權(quán)工作大致需要經(jīng)歷以下步驟往毡。
3.1 準(zhǔn)備工作
-
購買ECS、OBS等相關(guān)資源不做介紹靶溜,假設(shè)都已經(jīng)ready卖擅,從超級(jí)管理員視圖可以查看所有項(xiàng)目的ECS資源。
管理員ECS列表 -
參考創(chuàng)建IAM用戶指導(dǎo)墨技,創(chuàng)建泛微運(yùn)維用戶 weaver-ops惩阶、數(shù)據(jù)中心遷移項(xiàng)目用戶 project-a-user和財(cái)務(wù)人員 finance-user,如下圖扣汪。
IAM用戶列表 -
參考創(chuàng)建用戶組指導(dǎo)創(chuàng)建用戶組數(shù)據(jù)中心遷移項(xiàng)目組断楷、泛微OA應(yīng)用運(yùn)維組和公司財(cái)務(wù)部,并將對(duì)應(yīng)用戶加入用戶組崭别。
IAM用戶組列表
6病!茅主!注意N杼怠!诀姚! 响牛,創(chuàng)建用戶或用戶組之后,暫時(shí)不要 暫時(shí)不要 暫時(shí)不要 對(duì)用戶/用戶組進(jìn)行授權(quán),后續(xù)會(huì)補(bǔ)充說明原因呀打。
3.2 創(chuàng)建權(quán)限
首先需要說明華為云在權(quán)限中已經(jīng)預(yù)置單個(gè)云服務(wù)的不同角色的系統(tǒng)策略矢赁,比如 ECS 的運(yùn)維、超級(jí)管理員和只讀角色贬丛,因?yàn)樾枰淮喂芾矶喾N云服務(wù)撩银,所以需要?jiǎng)?chuàng)建自定義策略 泛微OA應(yīng)用運(yùn)維 和 遷移項(xiàng)目 權(quán)限。另外在創(chuàng)建自定義權(quán)限時(shí)豺憔,華為云權(quán)限系統(tǒng)需要區(qū)分 全局級(jí)權(quán)限 和 項(xiàng)目級(jí)權(quán)限额获,全局級(jí)權(quán)限 針對(duì)沒有區(qū)域概念的服務(wù),例如內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù) CDN恭应、對(duì)象存儲(chǔ)服務(wù) OBS等咪啡,大部分的服務(wù)(如ECS、VPC等)都屬于項(xiàng)目級(jí)權(quán)限暮屡。
3.2.1 泛微OA應(yīng)用運(yùn)維權(quán)限創(chuàng)建
根據(jù)權(quán)限要求撤摸,泛微OA運(yùn)維組需要管理ECS(云主機(jī))、EVS(云硬盤)褒纲、CBR(備份服務(wù))准夷、OBS、VPC莺掠、EIP等相關(guān)云服務(wù)資源衫嵌,但是不能刪除關(guān)鍵資源(需要與客戶運(yùn)維總監(jiān)提前確認(rèn))。
首先彻秆,華為云已經(jīng)預(yù)置了OBS的運(yùn)維權(quán)限楔绞,滿足實(shí)踐的權(quán)限需求,可以直接使用唇兑,所以不重復(fù)創(chuàng)建OBS服務(wù)的權(quán)限策略酒朵。
其次,華為云提供的預(yù)置權(quán)限策略扎附,多是針對(duì)單個(gè)云服務(wù)蔫耽,本實(shí)踐為了能夠選擇一個(gè)策略即可對(duì)主機(jī)ECS、VPC留夜、EIP匙铡、EVS、IMS碍粥、CBR備份服務(wù)進(jìn)行管理鳖眼,需要?jiǎng)?chuàng)建自定義權(quán)限策略,采用權(quán)限黑名單管理策略嚼摩,泛微OA應(yīng)用運(yùn)維組具備除了 刪除云主機(jī)钦讳、刪除云主機(jī)網(wǎng)卡矿瘦、刪除云硬盤、刪除EIP蜂厅、刪除備份 之外的對(duì)應(yīng)云服務(wù)權(quán)限匪凡。
JSON代碼如下
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vpc:*:*",
"ecs:*:*",
"evs:*:*",
"ims:*:*",
"cbr:*:*"
],
"Effect": "Allow"
},
{
"Action": [
"ecs:cloudServers:delete",
"ecs:cloudServerNics:delete",
"evs:volumes:delete",
"ims:images:delete",
"vpc:publicIps:delete",
"vpc:floatingIps:delete",
"cbr:backups:delete"
],
"Effect": "Deny"
}
]
}
3.2.2 遷移組權(quán)限創(chuàng)建
根據(jù)業(yè)務(wù)要求膊畴,項(xiàng)目A的成員管理ECS掘猿、OBS、VPC唇跨、EVS稠通、IMS、RDS服務(wù)买猖,需要所有權(quán)限(包含刪除)改橘,為了方便,這里也采取和泛微OA應(yīng)用運(yùn)維權(quán)限相同的方式創(chuàng)建自定義策略玉控;同時(shí)OBS采用華為云預(yù)置運(yùn)維權(quán)限飞主,之后即可到權(quán)限界面創(chuàng)建自定義權(quán)限策略權(quán)限-遷移項(xiàng)目。
JSON代碼如下
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vpc:*:*",
"ecs:*:*",
"evs:*:*",
"ims:*:*",
"drs:*:*",
"rds:*:*"
],
"Effect": "Allow"
}
]
}
3.2.3 財(cái)務(wù)人員組權(quán)限
財(cái)務(wù)部負(fù)責(zé)華東-上海一的所有云服務(wù)資源賬單管理高诺,所以可以使用在IAM模塊中對(duì)用戶組(公司財(cái)務(wù)部)直接進(jìn)行授權(quán)碌识,參考超鏈接中的 給用戶組授權(quán) 部分,操作后見截圖虱而。
完成以上操作后筏餐,用戶 finance-user 登陸華為云PORTAL,即可查看華東-上海一的所有云服務(wù)資源賬單牡拇。
財(cái)務(wù)終于可以方便的查看到各個(gè)項(xiàng)目資源費(fèi)用匯總~
3.3 創(chuàng)建企業(yè)項(xiàng)目
3.3.1 準(zhǔn)備工作
進(jìn)入企業(yè)項(xiàng)目管理魁瞪,需要完成企業(yè)認(rèn)證的華為云賬號(hào)才能管理企業(yè)項(xiàng)目,如果提示未開通惠呼,請完成企業(yè)認(rèn)證并通過企業(yè)管理員賬號(hào)申請開通导俘,完成之后需要創(chuàng)建兩個(gè)企業(yè)項(xiàng)目:泛微OA應(yīng)用 和 數(shù)據(jù)中心遷移項(xiàng)目,截圖如下剔蹋。
3.3.2 為項(xiàng)目添加資源并授權(quán)
以泛微OA應(yīng)用項(xiàng)目為例趟畏。
-
參考華為云幫助文檔將泛微OA應(yīng)用相關(guān)的云資源遷入項(xiàng)目,效果如圖滩租。
泛微OA應(yīng)用云服務(wù)資源列表 -
參考華為云幫助文檔為泛微OA應(yīng)用項(xiàng)目添加成員和關(guān)聯(lián)權(quán)限赋秀,需要添加 OBS運(yùn)維權(quán)限和泛微OA的自定義權(quán)限策略,效果如圖律想。
泛微OA運(yùn)維組成員管理與授權(quán)
-
數(shù)據(jù)中心遷移項(xiàng)目操作可以參考泛微OA應(yīng)用的項(xiàng)目猎莲,對(duì)項(xiàng)目組成員關(guān)聯(lián)權(quán)限時(shí),根據(jù)需求需要選擇遷移權(quán)限和OBS管理員權(quán)限技即,截圖如下著洼。
數(shù)據(jù)中心遷移項(xiàng)目成員管理與授權(quán)
3.4 登陸并檢查
分別使用用戶 weaver-ops 和 project-a-user 登陸華為云控制臺(tái)驗(yàn)證,下圖為weaver-ops的ECS列表截圖。
TIPS:如果點(diǎn)擊刪除ECS會(huì)提示權(quán)限不足身笤,驗(yàn)證權(quán)限時(shí)建議使用非生產(chǎn)系統(tǒng)驗(yàn)證豹悬。
四、總結(jié)一下
華為云也提供了標(biāo)簽]功能液荸,但在類似的場景中瞻佛,通過華為云企業(yè)項(xiàng)目+統(tǒng)一身份認(rèn)證的管理方式體驗(yàn)會(huì)好很多。如果需要在一個(gè)項(xiàng)目(或業(yè)務(wù))中進(jìn)行更多維度管理娇钱,也可以結(jié)合標(biāo)簽做更加細(xì)粒度管理展示伤柄。
最后用一頁圖整理對(duì)華為云企業(yè)項(xiàng)目管理(EPS)、統(tǒng)一身份認(rèn)證(IAM)和云服務(wù)資源實(shí)例之間的關(guān)聯(lián)關(guān)系文搂。
TIPS:IAM中雖然有項(xiàng)目的功能适刀,但是IAM項(xiàng)目中的資源不能在彼此間遷入遷出,不便于管理煤蹭。建議保留系統(tǒng)默認(rèn)的項(xiàng)目即可笔喉,用于對(duì)整個(gè)region內(nèi)的資源授權(quán);如果要進(jìn)行細(xì)粒度管理硝皂,建議使用企業(yè)項(xiàng)目常挚。
TIPS: 在企業(yè)項(xiàng)目中建議使用用戶組管理,避免同時(shí)需要在IAM和企業(yè)項(xiàng)目中對(duì)用戶進(jìn)行權(quán)限變更吧彪。
2020年11月15日待侵,第二稿:更新部分描述
2020年11月14日,第一稿
