自动化AutoTalk第八期：自动化场景之高效创建安全合规新账号.docx

〔〕阿里云

如何高效创建安全合规新账号

遥方解决方案架构师

阿里云开放平台

客户视角：为什么要创建新账号

场景一异地建站

场景一

异地建站

N部署站点O

N

部署站点

创建新账号部署资源

合规要求0部署出海应用场景二

合规要求

0

部署出海应用

创建新账号部署资源业务出海

创建新账号

部署资源

账号

分权分账场景三

分权分账

N

新业务上线

部署资源创建新账号部署新业务

部署资源

创建新账号

产品视角：为什么选择多账号部署

新业务快速启动，互不干扰

业务分散在多账号内，降低

风险爆炸半径

清晰的安全边界

为不同安全标准的业务实

施相应的安全策略

清晰灵活分账

Root资源夹访问配置

Root资源夹

访问配置

网络配置

防护规则

资源夹

Core

账号工厂：高效创建安全合规新账号

管理员在交付账号前，需对每个账号进行基础设置包括访问配置、联系人、消息通知、网络设定等大量重复操作

中心化管理账号基线，快速创建受管控的安全合规云账号

创建新实名认证账号Speed

创建新实名认证账号

Speediscritical

Qualityiscritical

管理账号

配置IDP

VPC/Vswitch

管控策略

配置用户/角色

安全组

操作审计规则

Bestpracticetemplates日志账号安全账号业务账号

Bestpracticetemplates

开发环境账号A新建账号ApplicationApplicationApplication应用基

开发环境账号A

新建账号

Application

Application

Application

应用基线

生产环境账号B

实现方式：云治理中心账号工厂方案

受管控账号配置账号基线

受管控账号

测试环境账号C

测试环境账号C

管理账号

ApplicationApplicationApplication

Application

Application

云治理中心-账号工厂

防护规则

密码强度设置

默认VPC

消息通知设定

…·

访问配置

账号联系人

自动开通服务

安全组

ApplicationApplicationApplication

Application

Application

产品官网：/product/developerservices/governance

准备工作：开通需使用企业实名认证账号，建议为空白账号

改变测试制品修改人longiun.linStartedbyuseradmin√

改变测试制品

修改人longiun.lin

Startedbyuseradmin

√account-factory68

分支：

提交：

3daysago

◎32s

流水线

权限配置：创建角色

权限配置：创建TF用户

权限配置：角色授权

网络配置

环境准备

权限配置：创建IDP

Start

End

创建账号

创建账号-5s

√cdstep/account-createterraforminit-backend-config=key=$uid-$account_name-account-create-backend-config=././backend.tfvars-reconfigure-plugin-dir=/srv/terraform-plugins-ShellScript

+cdstep/account-create

terraforminit-backend-config=key=1140931609457592-gitlab3-account-create-backend-config-.././backend.tfvars-reconfigure-plugin-dir=/srv/terraform-plugins

Initializingthebackend…

Successfullyconfiguredthebackendoss!Terraformwillautomatically

Initializingproviderplugins.

ly-fl12lfile

-usingpreviously-installedhashicorp/local