IBM Cloud Docs
Konto für zentrale Verwaltung

Konto für zentrale Verwaltung

Dieses Verwaltungskonto zentralisiert die Verwaltung der implementierbaren Architekturen, die für die Bereitstellung der Unternehmenskontostruktur, des Security and Compliance Centerund des Tools-Kontos für Entwicklung und Produktion erforderlich sind.

Central Administration-Diagramm. Alle Informationen werden im umgebenden Text übermittelt
Abbildung 1. Konto für zentrale Verwaltung

Das Konto für zentrale Verwaltung enthält einen Katalog implementierbarer Architekturen, die über IBM Cloud -Projekte bereitgestellt werden, um die Konten der höchsten Ebene sowohl in der Entwicklung als auch in der Produktion zu verwalten, um sicherzustellen, dass beide Unternehmen nahezu dieselbe Konfiguration haben und eine zentrale Verwaltung bereitstellen. Dieses Konto enthält auch den Schematics Agent, um angepasste implementierbare Architekturen zu aktivieren, die im Gitdes Unternehmens gespeichert sind.

Tabelle 1. Komponenten
Komponente Menge Beschreibung
Sicherheits-und Compliance-Projekt 1 Verwaltet die Infrastruktur als Code für die Implementierung des Security and Compliance Center und seiner Abhängigkeiten im Root-Konto.
Netzwerk-und Serviceprojekt 1 Verwaltet die Infrastruktur als Code für die Implementierung von zentralem Netzbetrieb und anderen allgemeinen Services im Konto für die zentrale Verwaltung
Geschäftsbereichsprojekt 1-25 Verwaltet die Infrastruktur als Code für die Implementierung einer Kontogruppe für Geschäftsbereiche, eines Sicherungskontos, des Verwaltungskontos für Geschäftsbereiche und des Inhalts des Verwaltungskontos für Geschäftseinheiten
Projekt für zentrale Verwaltung 1 Verwaltet die Infrastruktur als Code für die Implementierung der Ressourcen im zentralen Verwaltungskonto, wobei das Sicherungskonto für die Verwaltung erstellt und konfiguriert wird
Privater Katalog 1 Wird zum Hosten der genehmigten implementierbaren Architekturen für die Projekte in diesem Konto verwendet
Schematics Agent 1 Wird verwendet, um privat gehostete angepasste implementierbare Architekturen im privaten Katalog für dieses Konto zu aktivieren.

Der Schematics-Agent, der Katalog, die Projekte und die Schematics-Arbeitsbereiche müssen sich in einem einzigen Konto befinden.

Zusätzliche Komponenten, die im Diagramm nicht angezeigt werden:

Tabelle 2. Zusätzliche Komponenten
Komponente Menge Beschreibung
Activity Tracker 1 Stellt ein Prüfprotokoll für Aktivitäten innerhalb des Accounts bereit
IBM Cloud -Protokollierung 1 Stellt Protokollüberwachung für die Infrastruktur bereit, die den Schematics -Agenten hostet.
IBM Cloud Monitoring 1 Bietet Leistungs-und Fehlerüberwachung für Schematics Agent
Event Notifications 1 Stellt Benachrichtigungen für Projekte bereit

Berechtigung

Anstatt Benutzer zu berechtigen, die Infrastruktur direkt als Code zu implementieren, berechtigen Sie Projektinstanzen im Konto für zentrale Verwaltung, Ressourcen bereitzustellen und untergeordnete Konten zu erstellen. Durch die Autorisierung von Projekten zum Implementieren von Ressourcen und Erstellen von untergeordneten Konten wird sichergestellt, dass nur Änderungen an der Unternehmenskontenstruktur und der gemeinsam genutzten Schlüsselinfrastruktur über Projekte vorgenommen werden können. Da Projekte der Governance unterliegen, die durch das Katalog-Onboarding und das Projektkonfigurationsmanagement bereitgestellt wird, hilft dies bei der Implementierung der Best Practices für Zero-Trust-Sicherheit, die für viele Compliance-Programme erforderlich sind, einschließlich Financial Services Cloud.

Der Benutzerzugriff auf die Projekte und Ressourcen im Konto der Zentraladministration wird am besten mit Zugriffsgruppen oder vertrauenswürdigen Profilen durchgeführt. Dadurch wird die Anzahl der Richtlinien niedrig gehalten, was die Ursache für Zugriffsberechtigungen vereinfacht und die Fehlerchance verringert. Eine typische Organisation sollte in der Lage sein, ihr Konto für zentrale Verwaltung in der Reihenfolge von 10 Zugriffsgruppen oder vertrauenswürdigen Profilen zu betreiben.

Begründung für zentralisiertes Management in Entwicklung und Produktion

Die zentralisierte Verwaltung implementierbarer Architekturen und ihrer Konfiguration in einem Administratorkonto bietet die folgenden Vorteile:

  • Zentrale Stelle für die Suche nach IaC für die Unternehmensverwaltung. Der Administratorkatalog stellt sicher, dass dem Benutzer nur genehmigte, getestete und konforme implementierbare Architekturen zur Verfügung stehen. Durch die Verwendung eines einzigen Katalogs können Administratoren diese implementierbaren Architekturen ohne großen Aufwand finden und verwenden.
  • Ein Katalog zum Publizieren von IaC für die Unternehmensverwaltung. Die Verwaltung eines einzigen Katalogs vereinfacht die Bereitstellung und Verwaltung der richtigen Gruppe implementierbarer Architekturen. Dies umfasst auch die Sicherstellung, dass Aktualisierungen für implementierbare Architekturen zeitnah verfügbar und implementiert werden.
  • Zentrale Zugriffssteuerung und Überwachung für wichtige Unternehmensinfrastruktur. Die Platzierung der Kataloge und Projekte in einem zentralen Konto bedeutet, dass nur eine einzige Gruppe von Zugriffsrichtlinien geprüft werden muss, um sicherzustellen, dass die richtige (begrenzte) Gruppe von Benutzern Zugriff zum Bearbeiten dieser Infrastruktur hat.
  • Die Verwendung von Projekten mit vertrauenswürdigen Profilen stellt außerdem sicher, dass die Berechtigungsnachweise, die diese grundlegende Konfiguration bearbeiten können, für Benutzer nicht direkt zugänglich sind und daher nicht missbraucht werden können. Projekte stellen auch Konfigurationsgovernance sicher, sodass eine einzelne Person die Schlüsselinfrastruktur nicht ändern kann.
  • Es ist nur ein schematics-Agent erforderlich.

Bootstrapping für das Konto der zentralen Verwaltung

Da das Zentraladministrationskonto für die Festlegung des Großteils der Unternehmenskontoarchitektur verantwortlich ist, müssen zuerst die Unternehmenskonten mit IBM Cloud und das Zentraladministrationskonto erstellt werden.

Schritte zum Booten des Zentraladministrationskontos:

  1. Erstellen Sie manuell ein Entwicklungs-und Produktionsunternehmen basierend auf zwei neu erstellten Abonnementkonten (docs).
  2. Erstellen Sie manuell ein untergeordnetes Konto für die zentrale Verwaltung im Produktionsunternehmen (docs)
  3. Integrieren Sie implementierbare Architekturen für das Netz-und Servicekonto und für das zentrale Verwaltungskonto in einen privaten Katalog (docs). Die implementierbare Architekturquelle kann in einem privaten Git-Repository gespeichert werden, auf das während der Bootstrap-Prozedur über das öffentliche Netz zugegriffen werden kann.
  4. Implementieren Sie das Netz-und Servicekonto über ein Projekt (docs). Dies schließt die Einrichtung von Direct Link ein, um Konnektivität zum lokalen Netzbetrieb bereitzustellen.
  5. Füllen Sie das Konto für zentrale Verwaltung über ein Projekt aus. Dazu gehört die Bereitstellung des Schematics-Agenten zum Aktivieren des Zugriffs auf private Git-Repositorys, die lokal gespeichert sind.
  6. (Optional) Aktualisieren Sie die privaten Katalogeinträge für zuvor integrierte bereitstellbare Architekturen, sodass sie auf ein Git-Repository im privaten Netz verweisen.