IBM Cloud Docs
業務單位管理帳戶

業務單位管理帳戶

每一個正式作業業務單位 (BU) 帳戶群組都有一個業務單位管理帳戶。 此帳戶可讓 BU 在開發及正式作業企業之間自行管理其工作量帳戶及應用程式。

自我管理受限於應用程式及基礎架構型錄中所提供可部署架構 (基礎架構即程式碼範本) 的功能。

BU 管理 IaC 圖表。 所有資訊都以周圍文字傳送。
圖 1. BU 管理帳戶基礎架構即程式碼

基礎架構型錄中的可部署架構可讓您建立工作量帳戶,並以安全且符合標準的方式來佈建管理應用程式所需的共用基礎架構。

表 1. 元件
元件 數量 說明
應用程式型錄 1 用來管理此 BU 中應用程式專案的已核准可部署架構
基礎架構型錄 1 用來管理此 BU 中共用基礎架構專案的已核准可部署架構
應用程式開發專案 n 將基礎架構當作程式碼來管理,以在共用基礎架構內部署應用程式開發資源 (例如 Git 儲存庫、工具鏈、容器登錄、證明鎖定,以及要求名稱空間、網路輸出規則等)。 應用程式本身已建置,然後使用這些工具部署至開發及正式作業共用基礎架構
共用基礎架構專案 n 管理基礎架構即程式碼,以部署開發及正式作業工作負載帳戶,以及那些帳戶內的共用基礎架構
IaC 開發專案 1 管理基礎架構即程式碼,以部署開發及測試 IaC 帳戶。 這些帳戶用於開發及測試可部署架構
應用程式-基礎架構集 n 概念性分組-將一組應用程式專案及部署基礎架構以管理那些應用程式的專案分組在一起

BU 管理服務圖。 所有資訊都以周圍文字傳送。
圖 2. BU 管理帳戶服務

Schematics 工作區及 Schematics 代理程式支援基礎架構作為 BU 管理帳戶中的程式碼元素。 Schematics 可讓您使用儲存在公司網路上管理之專用 Git 儲存庫中的可部署架構。 此帳戶還管理 VPC landing zone 參照架構中使用的管理及邊緣 VPC (如果 BU 需要的話)。

表 2. 元件
元件 數量 說明
Schematics 代理程式 1 用來在專用型錄中啟用專用管理的自訂可部署架構
Schematics 工作區 n 由專案編排,用來部署可部署架構,並儲存 Terraform 狀態。 每個專案內的每個配置各一個工作區。
管理/Edge VPC 1 管理業務單位的共用管理及邊緣資源。 這可以包括公用負載平衡器、防禦主機及自訂管理服務。

Schematics 代理程式可以部署在 Management/Edge VPC 中,但不應該從公用網際網路存取該代理程式。

圖表中未顯示其他元件:

表 3. 其他元件
元件 數量 說明
Activity Tracker 1 提供帳戶內活動的審核追蹤
IBM Cloud 記載 1 提供管理 Schematics 代理程式之基礎架構的日誌監視
IBM Cloud Monitoring 1 提供 Schematics 代理程式的效能及錯誤監視
Event Notifications 1 提供專案的通知
自動化信任設定檔 1 授權集中管理專案管理此帳戶中的基礎架構
存取群組和授信設定檔 n 用來授權 BU 操作員使用型錄和專案的許多存取群組和授信設定檔

管理/Edge VPC

Financial Services Cloud 參照架構將管理及公用網際網路存取功能與應用程式管理功能分開-請參閱 IBM Cloud for Financial Services 的 VPC 參照架構用於公用網際網路存取的邊緣或傳輸 VPC 的變異。 這些管理及邊緣功能會集中在 BU 管理帳戶中,以降低成本及簡化管理與控制。

授權

授權 BU 帳戶使用者直接將基礎架構部署為程式碼,而不是授權業務單位管理帳戶內的 IBM Cloud 專案 實例部署資源並建立子帳戶。 當專案只從型錄部署核准的架構時,這可確保工作負載帳戶的變更遵循型錄上線和專案配置管理所提供的控管。

此授權模型可協助實作許多法規遵循程式 (包括 Financial Services Cloud) 所需的零信任安全最佳作法。

不應將修改工作量帳戶中資源的專用權授與使用者。

最佳作法,應該透過存取群組及/或授信設定檔,授與使用者對帳戶內專案、型錄及觀察工具的存取權。 透過確保使用者通常無權將變更部署至正式作業,可以取得額外的安全層次。 需要正式作業部署專用權的使用者必須切換至正式作業授信設定檔 (具有透過專案部署至正式作業的專用權) ,以大幅減少可能會影響正式作業的錯誤機會。 正式作業授信設定檔應該配置成具有短暫的階段作業持續時間,且只具有正式作業部署的專用權,這樣使用者就不會一直只使用這個設定檔。

其他考量

由於 BU 管理帳戶內的專案將可同時存取非正式作業及正式作業構件,因此擔心實驗性變更或非正式作業構件可能意外部署至正式作業。

使用以環境字首或字尾來命名帳戶、授信設定檔、配置及金鑰資源的命名慣例,可以緩解此問題。 命名慣例可讓您一目瞭然在配置期間及專案核准流程期間提出要部署哪些資源。

此外,專案內配置的精細存取控制可用來限制一組使用者核准及部署變更至正式作業基礎架構。 將個別授信設定檔用於正式作業部署,只能大幅減少意外變更至正式作業的機會。

集中化基礎架構作為程式碼管理的基本原理

將可部署架構及其配置的管理集中到每個 BU 的正式作業管理帳戶中,可提供下列好處:

  • BU 操作員可以在集中式組織強制的限制內管理他們自己的工作負載

    應用程式及基礎架構型錄可確保只能使用已核准、已測試且符合標準的可部署架構。 使用兩個型錄可讓您輕鬆設定 IAM 原則,讓使用者可以根據其角色來存取正確的可部署架構集。 例如, DevOps 使用者可存取基礎架構,而應用程式開發人員可存取應用程式開發工具。

  • BU 的集中式存取控制及監視

    將型錄和專案放在集中化帳戶中,可讓您更容易確保套用最少專用權的原則。 使用專案也可確保使用者無法存取具有操作應用程式及基礎架構功能的認證,因此不會被誤用。 最後,將這些相關專案保留在 BU 帳戶中,可讓您輕鬆監視部署,並確保基礎架構保持最新且符合標準。

  • 確保開發、測試和正式作業一致

    在非正式作業和正式作業之間使用單一專案,可讓開發和測試環境與正式作業環境一致。 單一專案可協助減少與環境差異相關的問題報告機會,同時讓團隊控制在不同環境中測試新的可部署架構版本。 它也可確保在所有環境中適當地管理這些資源的生命週期。 例如,如果不再需要專案,則很容易在非正式作業和正式作業環境之間清除所有資源。

  • 容許追蹤所有專案資源以進行帳戶和配置管理

    在非正式作業和正式作業之間使用單一專案,可確保所有專案 (或應用程式) 資源都已追蹤並配置給專案。 專案會施行資源標記,並追蹤資源供應、核准等。 這可確保涵蓋會計和配置管理需求。

  • 每個 BU 只需要一個 Schematics 代理程式