云治理中心：Landing Zone搭建概述

蓝图

说明

标准蓝图

适用于所有企业的标准模板。

包含最必须的Landing Zone搭建选项：启用资源目录并创建Core和Applications资源夹、创建日志账号、指定财务管理账号、开通云SSO、启用必要的合规防护规则等。这些搭建选项可以适配当前企业的已有配置，也可以根据企业实际情况进行修改。

在完成标准模板配置以后，还可以在此基础上继续拓展网络、安全、合规等进阶特性。

标准蓝图（云企业网络）

适用于对网络安全、管控、成本要求较高的企业。

在标准模板基础上包含了基于云企业网的网络隔离区（DMZ）搭建。一方面云企业网可以简化复杂网络配置，同时具备良好的可拓展性，另外一方面网络隔离区可以帮助企业统一管控流量出入口的设置，提升安全性，节省整体成本。

云原生蓝图

适用于使用了云原生技术架构的企业。

在标准模板基础上，可以在指定账号中搭建一个企业级的ACK Pro集群。该集群包含负载均衡、多可用区等高可用特性，除此之外，蓝图还包含管理ACK会用到的权限设置。

金融行业蓝图

适用于金融行业的模板。

金融企业对业务隔离的要求比较严格，在标准模板基础上包含了基于云企业网的网络隔离区（DMZ）搭建，以及金融行业常见合规包的推荐启用。

医疗及生物行业蓝图

基于GxP欧盟标准，适用于制药、生物技术和医疗器械领域企业。

在标准模板基础上包含基于云企业网的隔离区（DMZ）、服务日志投递以及医疗生物行业合规包的推荐启用。

分类

搭建项

说明

启用指导

推荐部署账号

资源规划

创建管理账号

创建资源目录的管理账号，用于管理资源目录。

必选

管理账号

资源规划

开通资源目录

开通资源目录（RD），用于搭建企业的多账号结构。

必选

管理账号

资源规划

创建资源夹

创建Core和Applications资源夹以实现管理和业务分离。您可以根据企业实际的组织和业务架构修改命名方式或拓展资源夹结构。

必选

管理账号

资源规划

创建核心账号

创建或指定核心管理账号，包括财务账号、日志账号、安全账号、共享服务账号等。职能清晰的账号可以帮助企业在后续部署日志投递、网络、安全等搭建项，实现良好的资源隔离。

必选

管理账号

资源规划

邀请已有账号

邀请已有的阿里云账号加入到资源目录进行统一管理。云治理中心将会代理您对指定的阿里云账号发送邀请邮件，需登录对应账号确认接受邀请。需注意邀请有12小时的时效限制，超时未接受时邀请失败，您需要在资源目录中重新发起邀请。

可选

管理账号

身份权限

设置云SSO

启用并初始化云SSO，并预置常见的访问配置，以便于企业可以更快地配置多账号的身份权限和单点登录。

推荐

管理账号

合规审计

操作审计统一日志投递

将多账号的操作审计日志统一投递到日志账号，可以选择投递到对象存储OSS实现长期存储，也可以投递到日志服务SLS实现实时的日志分析。

推荐

日志账号

合规审计

配置审计统一日志投递

将多账号的配置审计日志统一投递到日志账号，可以选择投递到对象存储OSS实现长期存储，也可以投递到日志服务SLS实现实时的日志分析。

推荐

日志账号

合规审计

启用防护规则

统一配置和开启配置审计的防护规则，保证云治理中心创建的资源结构和基础配置不被修改，同时保证多账号环境的安全性。启用后，您可以通过云治理中心或配置审计控制台，统一查看企业内各个资源账号的合规情况。

必选

管理账号

合规审计

服务日志统一投递

基于日志服务（SLS）中心化投递运行时的日志。覆盖存储（OSS、NAS）、网络（SLB、ALB、API网关、VPC）、数据库（关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、云原生数据库PolarDB）、安全（WAF、DDoS防护、云防火墙）等产品。

可选

日志账号

财务

设置财务托管关系

设置财务托管方式及财务托管账号，支撑统一结算。

推荐

财务账号

网络

启用云企业网络

启用云企业网络CEN，便于通过简单的规则把企业内部网络、跨地域网络、多云网络进行统一接入并打通。在此基础上，推荐搭建网络隔离区DMZ，提升网络安全性。

可选

共享服务账号

运维

企业级ACK集群

在指定账号中搭建一个企业级的ACK Pro集群，该集群包含负载均衡、多可用区等高可用特性。

可选

任意账号