案例场景
A 公司在腾讯云有10个以上的主账号,每个账号下均有50多个子账号分配给公司员工使用。在 AWS 有5个左右的主账号,每个账号下均有20多个子账号分配给公司员工使用。公司需求:
同一个员工在不同的账号下的权限相同。
当创建新的主账号时,能够快速在新账号下为员工开通权限。
员工岗位变动或离职时,能够及时回收权限。
当前方案简介
由于公司的云上预设策略不能满足授权需求,目前由公司运维主管通过自定义策略为子账号分配权限。
根据员工角色,在本地创建自定义脚本。每个云厂商的每个角色具备一个脚本,每个脚本为一个自定义策略。
在本地制定自定义程序,支持在不同的公有云上执行上述脚本,完成自定义策略创建。
前往不同的公有云,创建子账号并关联权限。
定期登录不同的云账号,进行例行清理。
存在问题
当前方案不仅繁琐易错,且存在以下问题:
按账号依次执行脚本效率低,且本地缺少账号密钥的管理工具,操作成本高。
子账号的创建和授权需要手工完成,依次在多个公有云和多个主账号切换操作,成本高且效率低。
子账号分布在不同的云和主账号下,缺少统一视图和管理工具,无法得知每个员工有哪些账号和权限。
在员工角色变更、离职等情况下,清理不及时存在很大的管理难度和风险。
使用多云管理
该场景下可使用多云管理,通过录入云账号、设置子账号权限、子账号管理三个模块解决问题。使用流程如下:
1. 通过 添加云账号,将公有云上的账号快速添加到腾讯多云管理平台。
2. 成功添加账号后,可通过设置子账号权限完成标准权限设置。详情请参见 云账号授权。如下图所示:
3. 您可在账号下为员工申请新的子账号,每个员工仅可具备一个子账号。可进行如下图所示操作:
查看子账号权限。
为子账号授权、回收权限。
为每一个子账号设置有效期。
到期回收权限或者删除子账号。
