Ιεράρχηση λογαριασμών και υπο-χρηστών

(Τμήμα: Πράξεις και διαχείριση)

1) Καθήκον και αρχές

Η ιεραρχία των λογαριασμών ορίζει πώς οι οργανισμοί και οι άνθρωποι αποκτούν πρόσβαση σε πόρους πλατφόρμας και πώς κατανέμονται τα δικαιώματα, οι ποσοστώσεις, οι προϋπολογισμοί και οι ευθύνες.

Αρχές:

Διαχωρισμός των Ανησυχιών: αντικατοπτρίζουμε τη δομή της επιχείρησης στο δένδρο της οντότητας και τα δικαιώματα στις πολιτικές.
Ελάχιστο προνόμιο: προεπιλογή - ελάχιστοι ρόλοι, προσωρινή προώθηση μέσω JIT.
Συνθετότητα: οι ρόλοι/ποσοστώσεις/όρια κληρονομούνται και παρακάμπτονται.
Κώδικας πολιτικής: πολιτικές πρόσβασης, ποσοστώσεις, τιμολόγηση - τεχνουργήματα που έχουν εκδοθεί.
Ελεγκτικότητα - Κάθε ενέργεια συσχετίζεται με ένα θέμα, ένα πλαίσιο και μια υπογραφή.

2) Υπόδειγμα αναφοράς ιεραρχίας


Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)

Καθορισμός επιπέδων:

Ενοικιαστής: ιδιοκτήτης συμβάσεων, τιμολόγηση υψηλού επιπέδου, παγκόσμιες πολιτικές και SSO.
Λογαριασμός: μεμονωμένος τομέας ευθύνης (κωδικός εμπορικού σήματος/χώρας/εταιρείας)· τους ίδιους προϋπολογισμούς/όρια.
Υπολογαριασμός: μονάδα εργασίας (προϊόν/ρεύμα/εντολή). τα κλειδιά, τις ποσοστώσεις, τους ρόλους και τον έλεγχο.

3) Υποδείγματα αδειοδότησης

RBAC: роли ιδιοκτήτης/διαχειριστής/φορέας εκμετάλλευσης/θεατής/τιμολόγησης/συμμόρφωσης.
ABAC: атрибуты 'περιφέρεια', 'ενοικιαστής', 'λογαριασμός', 'περιβάλλον', 'κίνδυνος _ βαθμολογία', 'συσκευή _ στάση'.
ReBAC: «κατέχει/συμμετέχει/επανεξετάζει» σχέσεις για έργα και μυστικά.

Πρακτική: Hybrid - RBAC ως αναγνώσιμη βάση, ABAC για περιορισμούς πλαισίου (περιφέρεια/χρόνος/συσκευή), ReBAC για ιδιοκτησία πόρων.

4) Αντιπροσωπεία και κληρονομιά

Ανάθεση καθηκόντων: Ο μισθωτής-διαχειριστής αναθέτει στον διαχειριστή λογαριασμού τον ίδιο ρόλο - Υπο-Λογαριασμός Συντηρητής.
Υπερβάσεις: Οι ποσοστώσεις/όρια/πολιτικές μπορούν να καταστούν αυστηρότερες.
Όρια εμπιστοσύνης: PII/Finance - μόνο σε «ζώνες εμπιστοσύνης» σε επίπεδο λογαριασμού· Ο υπολογαριασμός βλέπει μάρκες/συγκεντρωτικά μεγέθη.
Γυαλί θραύσης: επείγουσα πρόσβαση με σύντομο TTL, αυτόματο συναγερμό και μετά θάνατον.

5) Ποσοστώσεις, προϋπολογισμοί, χρέωση

Ποσοστώσεις: αιτήσεις/sec, γεγονότα/ημέρα, έξοδος, αποθήκευση, κλειδιά/webhooks.
Προϋπολογισμοί: μηνιαία ανώτατα όρια και προειδοποιήσεις (80/90/100%), αυτόματο στραγγαλισμό/αναστολή.
Τιμολόγηση: τιμολόγια σε επίπεδο ενοικιαστή/λογαριασμού. Τμήματα επιμέρους λογαριασμών και κέντρων κόστους.
Τιμολόγηση μεταβίβασης: εσωτερικά τέλη μεταξύ BU/περιφερειών.
Δίκαιη χρήση: δημόσια όρια, όρια τιμών, προστασία από «εκρήξεις».

6) Ταυτότητες και SSO/SCIM

SSO (SAML/OIDC): κεντρική είσοδος σε επίπεδο ενοικιαστή.
SCIM: αυτόματη δημιουργία/απενεργοποίηση χρηστών/ομάδων και δέσμευση των ρόλων.
JML (Joiner/Mover/Leaver): αυτόματη έκδοση των αρχικών ρόλων, αναθεώρηση κατά τη μετάφραση, άμεση ανάκληση κατά την απόλυση.
: υποχρεωτική για τη διαχείριση, τη χρηματοδότηση και την πρόσβαση στο PII.
Θέση συσκευής: ανοχή κατάστασης συσκευής (κρυπτογράφηση, EDR).

7) Λογαριασμοί υπηρεσιών και κλειδιά

Λογαριασμός υπηρεσιών ανά υπολογαριασμό + περιβάλλον, χωρίς κοινά μυστικά.
Φόρτος εργασίας Ταυτότητα: βραχύβιες μάρκες, που συνδέονται με τον πυθμένα/λειτουργία.
KMS/Vault: μυστική περιστροφή, πρόσβαση ρόλων, υπογραφές DSSE.
Webhooks: Υπογραφές HMAC/EdDSA, 'nonce + timestamp', παράθυρο TTL.

8) Υπόδειγμα δεδομένων (απλουστευμένο)

'tenant' '{id, name, sso, billing_profile, policies []}'

'accoun ' {id, , περιφέρεια, , ποσοστώσεις {}, προϋπολογισμοί {},

'sub _ account' {id, account_id, προϊόν, περιβάλλον, κλειδιά [], webhooks [], όρια {}} '

'role' {id, πεδίο εφαρμογής: ενοικιαστής 'accoun sub _ account _ account, άδειες []}'

«membship» «{subject _ id, role_id, scope_ref, ttl, αιτιολογική σκέψη}»

'policy' '{type: rba aba so ποσοστώσεις, έκδοση, κανόνες, υπογραφή}'

'audit _ event' {who, what, where, when, trace_id, signature} '

'ποσόστωση _ χρήση' '{scope _ ref, metric, window, used, cap}'

9) Συμβάσεις API

Διαχείριση:

«POST/ενοικιαστές/{ id }/λογαριασμοί» - δημιουργία λογαριασμού (πολιτικές/ποσοστώσεις/τιμολόγηση).
«POST/λογαριασμοί/{ id }/υπολογαριασμοί» - δημιουργία υπολογαριασμού (κλειδιά, webhooks).
'PUT/ρόλοι/{ id}' - πολιτική ρόλων; ' POST/μέλη - ανάθεση ρόλου.
'POST/πρόσβαση/ανύψωση' - ώθηση JIT με TTL και αιτιολόγηση.
"GET/ποσοστώσεις/χρήση" - χρήση/ανώτατο όριο· " POST/ποσοστώσεις/παράκαμψη '.

Λογιστικοί έλεγχοι και στατιστικές:

'GET/έλεγχος/γεγονότα Πεδίο εφαρμογής =... "- υπογεγραμμένα αρχεία καταγραφής.
'GET/status/access' - ρόλοι δράσης/TTL/κλειδιά.
: 'RequaCapReached', 'RoleExpiring', 'KooRotationDue', 'ContistAnged'.

10) RACI (βασικοί τομείς)

Περιοχή	Υπεύθυνος	Υπόλογος	Ζητήθηκε η γνώμη	Ενημερωμένο
Ιεραρχία/Μοντέλο πολιτικής	Πλατφόρμα IAM	CTO	Ασφάλεια, Νομική	Όλα τα BU
Ρόλοι και SoD	Ασφάλεια/IAM	CISO	Χρηματοδότηση, Ops	Έλεγχος
Ποσοστώσεις/Προϋπολογισμοί	FinOps/Πλατφόρμα	CFO/CTO	Προϊόν, SRE	Ιδιοκτήτες λογαριασμών
SSO/SCIM/JML	IT/IAM	CIO	HR, Ασφάλεια	Κεφαλές
Έλεγχος/επαναπιστοποίηση	Συμμόρφωση	CCO	Ασφάλεια, Ops	Διαχείριση

11) Μετρήσεις και SLO

TTG (Time-to-Grant): διάμεση τυπική έκδοση πρόσβασης ≤ 4 ώρες

Κάλυψη JIT: ≥ 80% των προνομιούχων συναλλαγών μέσω προσωρινών ρόλων.
SoD Παραβιάσεις: 0 в prod; Αποβολή TTR ≤ 24 ώρες.
Orphaned Access: μερίδιο των «ξεχασμένων» δικαιωμάτων ≤ 0. 1%.
Ποσόστωση Ακρίβεια: αντιστοιχία δεδουλευμένων/χρήσεων ≥ 99. 99%.
Πληρότητα ελέγχου: 100% δραστηριότητα κρίσιμης υπογραφής/παραλαβής.

12) Πίνακες ταμπλό

Πρόσβαση στην υγεία: ενεργοί ρόλοι ανά επίπεδο, λήξη των παραβιάσεων TTL, SoD.
FinOps: χρήση ποσοστώσεων, πρόβλεψη προϋπολογισμού, έξοδος/υπολογισμός ανωμαλιών.
Ασφάλεια: βασική εναλλαγή, αστοχίες MAX/SSO, ποσοστό κινδύνου των ομάδων.
Συμμόρφωση: καθεστώς επαναπιστοποίησης, αρχεία καταγραφής ελέγχων, παραβιάσεις πολιτικής.
Πράξεις: αιτήσεις πρόσβασης MTTR, TTFI για νέες εντολές.

13) Οριοθέτηση δεδομένων και προστασία της ιδιωτικής ζωής

Τομείς δεδομένων: PII/Finance - Επίπεδο λογαριασμού μόνο· Υπολογαριασμός - συγκεντρωτικά στοιχεία/μάρκες.
Περιφερειακός χαρακτήρας: εντοπισμός δεδομένων και κλειδιών ανά περιφέρεια (ζώνες εμπιστοσύνης).
Αιτήσεις PII: μέσω εγκεκριμένων jabs μόνο· μαρκινοποίηση και συγκάλυψη.

14) Κίνδυνοι και αντισυμβαλλόμενοι

Επίπεδο μοντέλο: όλα - «διοικητικά» περιστατικά και διαρροές.
Κοινά μυστικά: μη ιχνηλασιμότητα και αδυναμία ανασκόπησης.
No SoD: Ένα άτομο δημιουργεί και εγκρίνει πληρωμές/όρια.
Μη τοποθετημένα περιβάλλοντα: dev κλειδιά σε prod? δοκιμή ανάμειξης και πραγματικά δεδομένα.
«Άπειροι» ρόλοι: καμία TTL/επαναπιστοποίηση → συσσώρευση κινδύνου.
Ασθενείς ποσοστώσεις: Ένας επιμέρους λογαριασμός «καταναλώνει» την ικανότητα όλων.

15) Βιβλία παιχνιδιών για περιστατικά

Συμβιβασμός της κλείδας υπολογισμού: άμεση ανάκληση, εναλλαγή εξαρτήσεων, επανυπολογισμός ποσοστώσεων, λογιστικός έλεγχος των τελευταίων 7-30 ημερών.
Υπέρβαση των ποσοστώσεων: αυτόματη στραγγαλισμός/παύση, ειδοποίηση του ιδιοκτήτη, προσωρινό ανώτατο όριο του προϋπολογισμού.
Παραβίαση του SoD: παρεμπόδιση της επιχείρησης, προσωρινή κατάργηση του ρόλου, διερεύνηση και καθορισμός της πολιτικής.
Αντικατάσταση webhooks: απαγόρευση λήψης χωρίς υπογραφή/εκτός TTL, επανασύνδεση κλειδιού, κατάστασης-τελικού σημείου.

16) Επιβίβαση και κύκλος ζωής

1. Αρχικοποίηση ενοικιαστών: SSO/SCIM, προφίλ τιμολόγησης, παγκόσμιες πολιτικές.

2. Δημιουργία λογαριασμού - Περιφέρειες, ποσοστώσεις, προϋπολογισμοί, ζώνες δεδομένων, βασικοί ρόλοι

3. Υπολογαριασμός: κλειδιά/webhooks, ομαδικοί ρόλοι, ενοποιήσεις.
4. JML/Επαναπιστοποίηση: τριμηνιαία επανεξέταση των δικαιωμάτων, αυτόματη αφαίρεση των «στρωτήρων».
5. EOL: αρχείο, ανάκληση κλειδιού, μεταβίβαση ιδιοκτησίας, κλείσιμο χρέωσης.

17) Κατάλογος ελέγχου εφαρμογής

Συμβιβασμός Μισθωτή → Λογαριασμός → Υπο-Λογαριασμός Δένδρων και κανόνες κληρονομιάς.
Περιγράψτε ρόλους (RBAC) και πολιτικές πλαισίου (ABAC), πίνακας SoD.
Έναρξη SSO/SCIM, διαδικασίες JML και JIT ενισχύει.
Αναγράψτε ποσοστώσεις/προϋπολογισμούς/κανόνες ανώτατου ορίου και ειδοποίηση.
Ανάπτυξη KMS/θησαυροφυλακίου, περιστροφές και κοινά μυστικά.
Συμπεριλαμβάνονται οι πολιτικές ως κώδικες, οι υπογεγραμμένες κυκλοφορίες και τα αρχεία καταγραφής WORM.
Ρύθμιση διαχείρισης APIs/webhooks, καταληκτικά σημεία κατάστασης και έλεγχος.
Κατασκευή πινακίδων πρόσβασης/Finops/Security/Compliance dashboards.
Διεξαγωγή του GameDay: διαρροή κλειδιών, καταιγίδα ποσοστώσεων, αποτυχία IdP, παραβίαση SoD.
Τακτική επαναπιστοποίηση των ρόλων και αναθεώρηση των ορίων.

18) ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Πού να διατηρήσετε τα σύνορα μεταξύ λογαριασμού και υπολογαριασμού

Όπου μεταβάλλονται τα οικονομικά/η συμμόρφωση/ο κανονιστικός (λογαριασμός) και ο υπολογαριασμός - σχετικά με την ομάδα/το προϊόν/το περιβάλλον.

Είναι δυνατή η «κόλλα» ποσοστώσεων διαφόρων υπολογαριασμών

Ναι, μέσω κοινοπραξιών και προτεραιοτήτων, αλλά με την ικανότητα «καύσης».

Πώς να εκδοθεί γρήγορα προσωρινή πρόσβαση

Εφαρμογή JIT με MAX και TTL, αυτόλογη και μεταθανάτια για προνομιακές συνεδρίες.

Χρειάζομαι διαφορετικά κλειδιά τις Τετάρτες

Απαιτείται: χωριστοί λογαριασμοί υπηρεσιών/κλειδιά για dev/stage/prod με απομόνωση δικτύων και δικαιωμάτων.

Σύνοψη: Η ιεράρχηση των λογαριασμών και των υπο-χρηστών είναι ένα πλαίσιο διαχείρισης: μια αναγνώσιμη δομή οντοτήτων, κληρονομικές πολιτικές, αυστηρές ποσοστώσεις και τιμολόγηση, ασφαλείς ταυτότητες και αποδεδειγμένος λογιστικός έλεγχος. Με την εφαρμογή του RBAC/ABAC/REBAC, του JIT/SoD και του υβριδικού κώδικα πολιτικής, θα κερδίσετε ταχεία επιβίβαση, προβλέψιμο κόστος και βιώσιμη ασφάλεια όταν κλιμακωθεί ανά προϊόν, ομάδα και περιοχή.

Ιεράρχηση λογαριασμών και υπο-χρηστών

Επικοινωνήστε μαζί μας

Γρήγορη επικοινωνία

Το βίντεο θα ενημερωθεί σύντομα

Αυτή τη στιγμή είμαστε πολύ απασχολημένοι με έργα