2. 核心治理域设计
2.1 组织与账号架构方案
目标账号架构围绕企业组织分层展开,重点体现管理账号、根组织、顶层 OU、Applications 子 OU 以及各核心账号的落位关系。
其中治理账号集中落在 `Platform` OU,业务账号按环境落在 `Applications` OU 的子层级中。
图例说明:蓝色方框表示 OU,青色方框表示账号;Management account 放置在 Root 根节点内部,其余业务和治理账号均放置在所属 OU 方框内部。
组织节点与账号用途说明
| 节点名称 |
类型 |
用途说明 |
Root
企业组织根节点 |
OU |
企业组织的顶层容器,用于统一管理和圈定整个企业云资源的边界,下发全局安全策略。 |
Management account
企业组织管理账号 |
账号 |
企业组织的初始账号,拥有最高管理权限,主要用于组织架构管理、账单结算和统一策略下发,通常不运行具体业务。 |
Platform
治理账号集中承载区 |
OU |
用于集中放置整个 Landing Zone 治理相关的核心账号,提供平台级的公共基础服务。 |
| ├─ Log archive (日志归档) |
账号 |
集中存储和归档整个组织所有成员账号的审计日志(如操作日志、安全日志),确保日志集中管控且防篡改。 |
| ├─ Security (安全账号) |
账号 |
集中部署云安全服务、聚合全组织安全告警,供安全团队进行统一的威胁监控和应急响应。 |
| ├─ Shared service (共享服务) |
账号 |
部署跨账号共享的 IT 基础设施和服务(如 CI/CD 平台、目录服务、统一监控平台等)。 |
| └─ Network (网络账号) |
账号 |
集中管理企业核心网络枢纽(如企业级云上骨干网、专线接入点),控制各账号及本地数据中心的网络互通。 |
Applications
业务账号按环境分层 |
OU |
用于承载企业各业务系统的运行环境,根据软件开发生命周期进行子 OU 隔离。 |
| └─ Dev / Staging / Prod |
OU |
将研发、预发和生产环境的业务账号物理隔离,确保测试风险不会波及生产环境,并可针对性下发不同的安全基线策略。 |
SandBox
试验与验证环境 |
OU |
用于存放供开发人员或架构师进行云服务探索、PoC(概念验证)测试的独立环境。 |
| └─ Sandbox test (测试沙箱) |
账号 |
具有较宽松的权限配置,但带有严格消费上限和隔离策略的实验账号,用完即毁或定期回收,避免产生冗余成本和安全漏洞。 |
2.2 企业财务方案
企业财务方案是针对多账号提供的云上跨账号商务与履约(资金、发票、账单)一体化管理体系。
通过关联管理,以企业视角统筹云上资源使用,实现统一出账、统一结算与集中资金管理。
- 财务托管(本方案默认):将所有成员账号的账单、发票、结算和合同优惠统一托管给企业管理账号(Management account)。成员账号的资源消耗直接由管理账号统一出账和支付,最大化降低各业务团队的分散结算负担。
- 财务管理(可选模式):仅进行信控划拨、优惠共享和代开发票。成员账号仍保持独立出账和结算。适用于需要保持强财务独立性的子公司或跨实体企业。
- 成本分摊与可见性:无论采用哪种模式,均可通过组织单元(OU)结构和资源标签(Tag)体系,实现按部门、项目或环境(Dev/Staging/Prod)的成本多维分摊核算,提供精细化的成本运营数据。
2.3 员工身份权限方案
基于统一的身份与访问管理机制,建立企业级的登录入口与精细化的权限管控体系。
- 人员主路径标准化:员工统一通过企业 IdP 接入云身份中心,再映射为各目标账号内的角色访问控制台;如需调用 API / SDK,优先通过 STS 获取临时凭证,无需在成员账号中为人员保留长期密钥。
- 程序身份与人员解耦:应用、自动化脚本和 CI/CD 等程序主体使用账号内的程序身份(如 IAM User)进行编程访问;长期 AK / SK 仅保留给确有需要的程序场景,并应独立托管、定期轮换。
- 统一身份与最小特权:以企业自有 IdP 为唯一身份源,通过 SSO 接入云身份中心后集中分配权限集。相同身份可映射到多个账号,并在不同业务账号或环境中按职责分离(SoD)和最小特权(Least Privilege)获得权限。
- 集中生命周期治理:人员入职、调岗或离职时,只需在身份中心完成一次变更,即可同步收敛其在各成员账号中的访问权限,减少离职残留账号和跨账号权限失管风险。
⚠️ 实施范围说明:考虑到企业自有 IdP(如 Active Directory, 飞书, 钉钉等)配置的复杂性、网络要求以及不同企业的安全灵活性需求,企业 IdP 与火山引擎云身份中心之间的 SSO 打通配置不在本 Skill 的自动化实施范围内。如需接入,请在 Landing Zone 底座搭建完成后,参考官方文档或由火山支持团队协助进行人工配置。
2.4 审计日志归集方案
满足企业安全合规要求,实现全网操作行为的统一审计与安全事件的集中留痕。
- 组织级统一采集:由管理账号在组织层开启并配置组织级跟踪,统一采集现有及未来新增成员账号的操作日志与 API 调用记录,避免逐账号重复配置与漏配。
- 控制面与归档面分离:通过委派管理机制将云审计管理职责收敛到 Log archive 账号,同时将日志集中归集到独立的 TOS 日志归档桶,清晰区分“谁管理”和“谁存储”。
- 集中留存与防篡改:归档日志所在的 Log archive 账号应实行严格访问控制,与业务账号隔离,确保审计数据长期留存、不可篡改,并满足等保或行业合规要求。
2.5 企业网络方案
构建安全、高效、可扩展的云上网络底座,规范不同账号、不同环境之间的网络互联与隔离边界。
- 枢纽式网络底座:在 Network 账号中集中部署中转路由器(TR)作为跨账号互联枢纽,由其统一承担路由收敛;中心 VPC 是接入对象之一,而非 TR 的容器或内部组件。
- 跨账号统一接入:各业务账号的业务 VPC 通过标准化的跨账号接入方式连接到 TR,在保持网络拓扑清晰的同时,为后续新增业务账号和环境扩展预留统一接入路径。
- 按需互通与边界隔离:本地数据中心可通过云专线或 IPsec VPN 接入网络枢纽,再由统一路由策略决定与中心 VPC、业务 VPC 的互通范围,避免默认全互通带来的横向移动风险。
⚠️ 实施范围说明:因云专线(DC)和 IPsec VPN 涉及较复杂的物理与逻辑连通配置,且通常伴随较高的资源成本,本 Skill 不会自动部署混合云连接部分;同时,本 Skill 也不会自动执行完整的南北向、东西向安全防护方案,以及公网入口、出口与流量治理能力建设,例如云防火墙、WAF、DDoS 防护、CLB/ALB、NAT 网关等能力的规划、选型与策略编排。主要原因在于此类方案通常需要结合企业现网拓扑、业务暴露面、访问路径、安全等级要求、带宽规模、高可用目标与预算约束进行定制化设计。如需与线下数据中心打通,或进一步建设完整的网络安全与流量治理体系,需在火山引擎支持团队或解决方案团队协助下另行制定并实施专项方案。
2.6 账号工厂与基线方案
在 Landing Zone 底座搭建完成后,可通过账号工厂(Account Factory)按统一规则持续创建新账号,并在账号创建完成后按需为该账号补充标准化基线配置。
当前能力聚焦于“创建账号”这一主流程,以及账号创建后的 baseline 选择、现场创建和应用,不将其扩展描述为独立的通用模板平台。
- 主流程始终是创建账号:账号工厂首先负责新账号创建,并在创建过程中同步完成账号的目标 OU 落位、财务关系挂接和基础标签写入,确保新账号在进入组织后立即具备基本治理属性。
- baseline 是可选增强项:baseline 不是账号创建前置条件,而是账号创建完成后的标准配置包。用户可以选择仅创建账号,也可以继续选择已有 baseline、现场创建 baseline,再按确认节奏应用到目标账号。
- 当前能力边界清晰:当前提供内置的基础预置模块,用于将新业务账号接入企业共享网络或下发通用配置;如有企业自定义扩展需求,也可挂载客户自定义 Terraform 模块纳入同一条 baseline 应用流程。
- 分步驻停而非整链路直推:账号创建、baseline 选择或创建、baseline 应用都会按“说明 -> 准备 -> 确认 -> 执行 -> 总结”的节奏推进,不会默认把所有动作一次性自动执行到底。