安全与治理-附录:背景信息
下载安全与治理用户手册完整版
背景信息
工具 |
所属云服务 |
具体描述 |
|---|---|---|
账号 |
IAM |
账号(Account)是云上资源归属和使用计费的主体,对其所拥有的资源具有完全控制权限,可以创建和管理用户、用户组,并对用户组进行授权。账号统一接收用户进行资源操作时产生的费用账单。不同账号间有严格的物理隔离,网络互不相通,跨账号的资源互访需要使用特定的工具解决。 |
组织 |
企业中心 |
华为云提供的组织管理功能,允许企业在华为云上创建匹配自身组织结构的组织单元(Organization Unit, OU),并可以通过创建账号或邀请其他账号的方式为组织单元添加账号,实现对多个账号的统一资金管理和消费汇总。创建组织结构的账号为主账号,添加到组织单元的账号为子账号,主子账号通过组织结构构成了一种层级关系。主账号可以将自己的账号余额、信用额度、代金券划拨给子账号,主账号也可以查看子账号在华为云上的财务信息和消费信息,子账号可以继承主账号的商务折扣。需要指出的是,主账号和子账号间依然有严格的物理隔离,网络互不相通。 |
企业项目 |
EPS |
企业项目(Enterprise Project, EP)是云资源的逻辑集合,其中的资源可以迁入迁出,方便租户按照自身的项目管理模式在华为云上进行资源的分组管理、成本核算和权限控制。一个企业项目可以包含多个区域的资源,可以授权给一个或者多个用户组进行管理。企业项目的灵活性较好,推荐用作企业的IT项目管理。 |
IAM项目 |
IAM |
IAM项目针对同一个区域(Region)内的资源进行分组和物理隔离,在IAM项目中的资源不能转移到另一个IAM项目,只能删除后重建,灵活性不高。 |
用户 |
IAM |
用户由华为云账号在IAM中创建,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源,账号可以随时修改或者撤销IAM用户的使用权限。用户不进行独立的计费,由所属账号统一付费。 |
用户组 |
IAM |
用户组是用户的集合,华为云通过用户组功能实现用户的授权。用户需要加入特定用户组后,才具备对应的权限。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。 |
策略 |
IAM |
IAM提供的一种细粒度授权机制,可以精确到具体服务的操作、资源以及请求条件等,使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。策略根据创建的对象,分为系统策略和自定义策略。 |
授权 |
IAM |
华为云通过给用户组授予策略或角色,用户组中的用户就能获得了相应的权限,这一过程称为授权。用户获得具体云服务的权限后,可以对云服务进行操作。有两种授权范围,一个是IAM项目,另一个是企业项目,IAM项目的授权范围是账号内特定区域,企业项目的授权范围仅限于特定企业项目。按照最小授权原则,推荐在企业项目中进行授权。 |
服务配额 |
公共服务 |
华为云平台上单个账号内各服务资源的配额,对用户所能申请的资源数量和容量做了限制,但企业如果确实会使用超过配额的云服务资源,可以提工单申请扩大配额。 |
资金配额 |
CBC |
为防止用户过度订购云服务,限定账号和企业项目在华为云上订购云服务的资金上限。 |
成本中心 |
CBC |
成本中心是华为云免费向客户提供的一项成本管理服务,可帮助客户收集华为云成本和使用量的相关信息、探索和分析华为云成本使用情况、监控和跟踪华为云成本。主要功能包括成本分析、预算管理、成本监控、成本优化建议和成本标签等。 |
安全合规 |
Compass |
Compass是一个自动化合规评估和安全治理的平台,以华为内部云服务网络安全与合规标准为基座,将华为积累的全球安全合规经验服务化,开放PCI DSS、ISO27701、ISO27001等安全治理模板,将合规语言IT化实现自动化扫描,可视化呈现合规状态,一键生成合规遵从性报告,帮助租户快速实现云上业务的安全遵从,提升租户获得法规及行业标准认证的效率。 |
态势感知 |
SA |
SA(Situation Awareness,态势感知)是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。 |
资源合规 |
RMS |
通过设置合规规则对特定云资源进行合规检查,如检查某个区域内所有已挂载的云硬盘是否加密。 |
云审计 |
CTS |
是一种专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 |
标签管理 |
TMS |
标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类管理。 |
企业路由器 |
ER |
企业路由器(Enterprise Router, ER)可以连接VPC或本地网络来构建Region级别的中心辐射型网络,是云上大规格,高带宽,高性能的集中路由器。企业路由器使用边界网关协议,支持路由学习、动态选路以及链路切换。企业路由器能够打通多个账号内VPC之间的网络,可以通过VPN、专线与本地网络三层互通,通过云连接与用户在其他Region的VPC互通,通过路由配置,实现灵活的隔离和互通。 |
VPC |
VPC |
为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。 |
子网 |
VPC |
提供一个网段,用来管理云资源网络平面,可以提供IP地址管理、DNS服务。默认情况下,同一个VPC的所有子网内的云服务器均可以进行通信,但可以通过设置网络ACL或安全组进行子网间的安全访问控制,不同VPC之间默认不能通信。 |
