阿里巴巴|解读如何安全快速建立IT治理环境( 二 ) 阿里云|云计算

另外一方面云治理中心提供了对治理情况的持续观测跟踪，当企业的业务、合规要求发生变化的时候，便于维护和更新，保障云上环境始终能够符合企业的需求。
云治理中心的核心功能

具体来说，云治理中心具备以下这些核心能力：
第一个是帮助企业分析当前的治理现状，一般操作系统都有一个root或者admin管理员账号。但在阿里云上，我们建议客户使用多账号的管理结构，需要创建一个最高权限云账号，称为master账号，它可以管理整个企业的云资源。这个账号的安全要求非常高，因此如何决策非常关键。对于初次上云的企业，云治理中心可以把当前的空白账号设定为管理员账号。对于已经在云上开展业务的企业，云治理中心可以分析当前的账号情况，帮助客户决策是否需要优化，或者要创建一个新的管理账号。第二个能力是自动化配置多账号环境，多账号是landingzone上云框架的基础，云治理中心可以帮助客户规划当前的多账号结构，包括商业关系，资源目录，和必要的职能账号，如日志、共享服务账号等。第三个能力是设置合规基线，很多客户有合规的需要，但是不知道应该如何设定，哪些是必要的合规规则。云治理中心会给企业推荐可用的合规规则，主要利用阿里云的配置审计的能力和管控策略的能力，这些规则策略会自动应用到企业下的所有账号，不需要客户对每个账号都进行配置，能够保障企业中所有的云账号都受到监管，从而降低业务风险。第四个能力是正在开发的账号创建能力，称为账号工厂。在最佳实践中，我们建议每个独立的业务单元都创建一个账号进行管理，方便结算、资源和权限的隔离。但是一个新的账号要受到企业的监管并且需要预先设定企业的合规配置，比如安全组、标签、用户角色等，是比较复杂的过程。通过云治理中心的账号工厂，可以很便捷的创建一致的合规云账号，快速交付给业务团队使用。对于业务团队而言，他们拿到这样的账号，不需要过多关心安全、网络和资源的合规权限，只需要专注业务的需求创建云资源，把业务迁移上云即可。第五个功能是可持续治理，通过云治理中心监控企业中所有账号资源是否合规，包括企业资源目录是否被改动，是否有私自创建的权限，是否有哪个账号不符合基线要求出现了风险，哪个账号有欠费等。另外在云治理中心可以提升资源跨账号的可观测性，管理员能够观测到企业所有资源的分布情况和变化趋势。云治理中心的场景
从场景上看，当企业遇到以下问题的时候，可以通过云治理中心进行统一的治理。
第一个是有大量的账号缺少统一管理。由于各个云账号分属各个业务线管理，企业无法获知到底有多少账号，这些账号管理不善可能导致企业数据的泄露。
第二个是企业的员工账号管理混乱。企业部分账号存在过大授权，离职员工账号没有统一回收，导致可能存在被恶意操作的风险。
第三个是企业需要符合内外部监管的要求，对日志进行统一归集，设定统一的合规规则。
开通以上介绍了如何使用云治理中心搭建统一的IT治理环境，大家若感兴趣可以通过在阿里云官网搜索“云治理中心”开通试用。
本文为阿里云原创内容，未经允许不得转载。