藍圖

說明

標準藍圖

適用于所有企業的標準模板。

包含最必須的Landing Zone搭建選項：啟用資源目錄并創建Core和Applications資源夾、創建日志賬號、指定財務管理賬號、開通云SSO、啟用必要的合規防護規則等。這些搭建選項可以適配當前企業的已有配置，也可以根據企業實際進行修改。

在完成標準模板配置以后，還可以在此基礎上繼續拓展網絡、安全、合規等進階特性。

標準藍圖（云企業網絡）

適用于對網絡安全、管控、成本要求較高的企業。

在標準模板基礎上包含了基于云企業網的網絡隔離區（DMZ）搭建。一方面云企業網可以簡化復雜網絡配置，同時具備良好的可拓展性，另外一方面網絡隔離區可以幫助企業統一管控流量出入口的設置，提升安全性，節省整體成本。

云原生藍圖

適用于使用了云原生技術架構的企業。

在標準模板基礎上，可以在指定賬號中搭建一個企業級的ACK Pro集群。該集群包含負載均衡、多可用區等高可用特性，除此之外，藍圖還包含管理ACK會用到的權限設置。

金融行業藍圖

適用于金融行業的模板。

金融企業對業務隔離的要求比較嚴格，在標準模板基礎上包含了基于云企業網的網絡隔離區（DMZ）搭建，以及金融行業常見合規包的推薦啟用。

分類

搭建項

說明

啟用指導

推薦部署賬號

資源規劃

創建管理賬號

創建資源目錄的管理賬號，用于管理資源目錄。

必選

管理賬號

資源規劃

開通資源目錄

開通資源目錄（RD），用于搭建企業的多賬號結構。

必選

管理賬號

資源規劃

創建資源夾

創建Core和Applications資源夾以實現管理和業務分離。您可以根據企業實際的組織和業務架構修改命名方式或拓展資源夾結構。

必選

管理賬號

資源規劃

創建核心賬號

創建或指定核心管理賬號，包括財務賬號、日志賬號、安全賬號、共享服務賬號等。職能清晰的賬號可以幫助企業在后續部署日志投遞、網絡、安全等搭建項，實現良好的資源隔離。

必選

管理賬號

資源規劃

邀請已有賬號

邀請已有的阿里云賬號加入到資源目錄進行統一管理。云治理中心將會代理您對指定的阿里云賬號發送邀請郵件，需登錄對應賬號確認接受邀請。需注意邀請有12小時的時效限制，超時未接受時邀請失敗，您需要在資源目錄中重新發起邀請。

可選

管理賬號

身份權限

設置云SSO

啟用并初始化云SSO，并預置常見的訪問配置，以便于企業可以更快地配置多賬號的身份權限和單點登錄。

推薦

管理賬號

合規審計

操作審計統一日志投遞

將多賬號的操作審計日志統一投遞到日志賬號，可以選擇投遞到對象存儲OSS實現長期存儲，也可以投遞到日志服務SLS實現實時的日志分析。

推薦

日志賬號

合規審計

配置審計統一日志投遞

將多賬號的配置審計日志統一投遞到日志賬號，可以選擇投遞到對象存儲OSS實現長期存儲，也可以投遞到日志服務SLS實現實時的日志分析。

推薦

日志賬號

合規審計

啟用防護規則

統一配置和開啟配置審計的防護規則，保證云治理中心創建的資源結構和基礎配置不被修改，同時保證多賬號環境的安全性。啟用后，您可以通過云治理中心或配置審計控制臺，統一查看企業內各個資源賬號的合規情況。

必選

管理賬號

合規審計

服務日志統一投遞

基于日志服務（SLS）中心化投遞運行時的日志。覆蓋存儲（OSS、NAS）、網絡（SLB、ALB、API網關、VPC）、數據庫（關系型數據庫RDS、云原生分布式數據庫PolarDB-X 1.0、云原生數據庫PolarDB）、安全（WAF、DDoS防護、云防火墻）等產品。

可選

日志賬號

財務

設置財務托管關系

設置財務托管方式及財務托管賬號，支撐統一結算。

推薦

財務賬號

網絡

啟用云企業網絡

啟用云企業網絡CEN，便于通過簡單的規則把企業內部網絡、跨地域網絡、多云網絡進行統一接入并打通。在此基礎上，推薦搭建網絡隔離區DMZ，提升網絡安全性。

可選

共享服務賬號

運維

企業級ACK集群

在指定賬號中搭建一個企業級的ACK Pro集群，該集群包含負載均衡、多可用區等高可用特性。

可選

任意賬號