GH GambleHub

Հաշիվների և ենթաօրենսդրների հիերարխիա

(Բաժին ՝ Վիրահատություններ և կառավարում)

1) Առաջադրանքն ու սկզբունքները

Հաշիվների հիերարխիան որոշում է, թե ինչպես են կազմակերպությունները և մարդիկ հասնում պլատֆորմի ռեսուրսներին և ինչպես են բաշխվում իրավունքները, քվոտաները, բյուջեները և պատասխանատվությունը։

Սկզբունքները

Separation of Concerns, բիզնեսի կառուցվածքը արտացոլում ենք էակների ծառի մեջ, իսկ իրավունքները քաղաքական։

Least Privilege: լռելյայն նվազագույն դերեր են, ժամանակավոր բարձրացում JIT-ի միջոցով։

Composability: դերերը/քվոտաները ժառանգվում և վերագրանցվում են։

Policy-as-Code 'հասանելիության քաղաքականությունը, քվոտաները, բիլինգը տարբերակված արտեֆակտներ են։

Auditability: Յուրաքանչյուր գործողություն կապված է առարկայի, ենթատեքստի և ստորագրության հետ։

2) Հիերարխիայի հանրաքվե-մոդելը


Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)

Մակարդակների նշանակումը

Tenault-ը պայմանագրերի սեփականատերն է, բարձր մակարդակի բիլինգը, գլոբալ քաղաքական և SSO-ն։

Account: մեկուսացված պատասխանատվության գոտի (բրենդ/երկիր/BE); սեփական բյուջեներ/լիմիտներ։

Sub-account: աշխատանքային միավորը (ապրանք/հոսք/թիմ); իրենց բանալիները, քվոտաները, դերերը և աուդիտը։

3) Հեղինակային մոդելներ

RBAC: роли Owner/Admin/Operator/Viewer/Billing/Compliance.
ABAC: атрибуты `region`, `tenant`, `account`, `environment`, `risk_score`, `device_posture`.

ReBAC 'հարաբերությունները «պատկանում/մասնակցում/ռևյուիտ» նախագծերի և գաղտնիքների համար։

Պրակտիկա 'հիբրիդ - RBAC որպես կարդացվող բազիս, ABAC համատեքստային սահմանափակումների համար (տարածք/ժամանակ/սարք), ReBAC ռեսուրսների սեփականության համար։

4) Կառավարումը և ժառանգությունը

Անջատումը ներքև 'Tenault-admin-ը տալիս է Account Admin-ի դերը, նա Sub-account Maintainer-ն է։

Վերանայումները 'քվոտաներ/լիմիտներ/քաղաքականությունը կարող են խստացնել ծառի ներքև։

Trust Boundaries: PII/ֆինանսները միայն Account մակարդակի «վստահության գոտիներում» են։ Sub-account տեսնում է հոսանքներ/ագրեգատներ։

Break-glass: Արտակարգ մուտք կարճ TTL, alto-alert և post-mortem։

5) Քվոտաներ, բյուջեներ, բիլինգ

Քվոտաներ ՝ հարցումներ/վայրկյան, իրադարձություններ/օր, egress, պահեստ, բանալիներ/webhuks։

Բյուջեներ ՝ ամսական գլխարկներ և ալերտներ (80/90/100%), ավտո-տրոտլինգ/կասեցում։

Բիլինգը 'invoiss Tenault/Account մակարդակում; կտրվածքներ Sub-account և teges (centers)։

Transfer Pricing: Ներքին բաժանումներ BU/տարածաշրջանների միջև։

Fox-use: հանրային լիմիտներ, rate-limits, պաշտպանություն «բուրիստներից»։

6) Ինքնություն և SSO/SCSA/SCRS

SSO (SAML/OIDC) 'կենտրոնացված ստանդարտ Tenault մակարդակում։

SCTS 'ավտոմատ ստեղծում/օգտագործողների/խմբերի ապակայունացում և կապում դերերի հետ։

JML-ը (Jover/Mover/Leaver) 'մեկնարկային դերերի Avto-105-ը, որը նկարագրվում է թարգմանության ժամանակ, ակնթարթային ակնարկներ աշխատանքից հեռացնելիս։

MFA/FIDO2 'պարտադիր է ադամինների, ֆինանսական և PII հասանելիության համար։

Device Posture: Ստանդարտ սարքի (կոդավորումը, EDR)։

7) Ծառայողական վերանորոգումներ և բանալիներ

Intel Account per Sub-account + Envi.ru, առանց shared գաղտնիքների։

Workload Identity: հակիրճ հոսանքներ, ենթաօրենսդրություն/ֆունկցիա։

KFC/Vance 'գաղտնիքների լուծարումը, դերերի հասանելիությունը, DSE ստորագրությունները։

Webhuks: HMAC/EdDSA, «nonce + timestamp», TTL պատուհանը։

8) Տվյալների մոդելը (պարզեցված)

`tenant` `{id, name, sso, billing_profile, policies[]}`

`account` `{id, tenant_id, region, legal_entity, quotas{}, budgets{}, risk_tier}`

`sub_account` `{id, account_id, product, environment, keys[], webhooks[], limits{}}`

`role` `{id, scope: tenant|account|sub_account, permissions[]}`

`membership` `{subject_id, role_id, scope_ref, ttl, justification}`

`policy` `{type: rbac|abac|sod|quota, version, rules, signature}`

`audit_event` `{who, what, where, when, trace_id, signature}`

`quota_usage` `{scope_ref, metric, window, used, cap}`

9) API պայմանագրերը

Կառավարումը

«POST/tenants/+ id =/accounts» - ստեղծել Account (քաղաքականություն/քվոտաներ/բիլինգ)։

«POST/acounts/+ id =/sub-accounts» - ստեղծել Sub-account (բանալին, webhuki)։

«POST/memberships» -ը դերի քաղաքականությունն է։

«POST/2019/elevate» - JIT բարձրացումը TTL-ի և հիմնավորման հետ։

«GET/www.tas/usage» - օգտագործումը/cap; «POST/www.tas/override»։

Աուդիտը և կարգավիճակները

`GET /audit/events? scope =... "- ստորագրված լոգներ։

«GET/status/2019» - ակտիվ դերեր/TTL/բանալիներ։

Вебхуки: `QuotaCapReached`, `RoleExpiring`, `KeyRotationDue`, `PolicyChanged`.

10) RACI (հիմնական ոլորտներ)

ՏարածքըResponsibleAccountableConsultedInformed
Հիերարխիայի/քաղաքական մոդելPlatform IAMCTOSecurity, LegalԲոլոր BU
Դերերը և SoDSecurity/IAMCISOFinance, OpsԱուդիտ
Քվոտաներ/բյուջեներFinOps/PlatformCFO/CTOProduct, SREAccount սեփականատերերը
SSO/SCIM/JMLIT/IAMCIOHR, SecurityԱռաջնորդները
Աուդիտ/recertiationComplianceCCOSecurity, OpsԿառավարումը

11) Մետրիկի և SLO

TTG (Time-to-Grance) ՝ ստանդարտ հասանելիության ստանդարտ թիվ 4

JIT Coverage: 2480 տոկոսը արտոնյալ վիրահատությունների միջոցով ժամանակավոր դերի միջոցով։

SoD Violations: 0 в prod; TTR վերացնել 2424 ռուբլիներ

Orphaned Express-ը «մոռացված» իրավունքների մասն է 0։ 1%.
Delta Accuracy: հաշվարկների/օգտագործման համընկնում թիվ 99։ 99%.

Audit Completeness: 100 տոկոսը քննադատական գործողություններ է ստորագրելու/քվիտանիայի հետ։

12) Դաշբորդի

Health-ը 'ակտիվ դերեր TTL-ի, SoD-ի խախտումների միջոցով։

FinOps: քվոտաների օգտագործումը, բյուջեի կանխատեսումը, egress/compation անոմալիան։

Տե՛ ս ՝ միգրանտների լուծարումը, MFA/SSO ձախողումները, ռիսկի սկորտը։

Compliance: ռեցերտացիայի կարգավիճակը, աուդիտի լոգները, քաղաքական խախտումները։

Oper.ru: MTTR հասանելիության հարցումները, TTFI նոր թիմերի համար։

13) Տվյալների սահմանումը և գաղտնիությունը

Domains: PII/ֆինանսները միայն Account մակարդակում են։ Sub-account - ագրեգատներ/հոսանքներ։

Ինտենսիվությունը 'տվյալների տեղայնացումը և www.per-region (վստահության գոտիներ)։

PII-ի հարցումները 'միայն հաստատված ջոբների միջոցով։ թունավորում և դիմակավորում։

14) Ռիսկեր և հակատիպեր

Flat-մոդելը 'բոլորը' ռուսական պատահականներն ու արտահոսքերը։

Shared-գաղտնիքները 'անտեսանելիությունը և ակնարկների անհնարինությունը։

Ոչ SoD 'մեկ մարդ ստեղծում և ասում է վճարումներ/լիմիտներ։

Անբացատրելի միջավայրեր 'dev-բանալիներ 2019; թեստերի և իրական տվյալների խառնուրդ։

«Անսահման» դերերը ՝ առանց TTL/ռեցերտիֆիկացման, ռիսկի կուտակումը։

Թույլ քվոտաներ 'մեկ Sub-account «ուտում է» բոլոր։

15) Պլեյբուկի

Sub-account ստեղնաշարի փոխզիջումը 'չարտոնված ակնարկ, կախվածության վերացում, քվոտաների վերահաշվարկ, վերջին 7-30 օրվա աուդիտ։

Քվոտաների ավելացումը 'ավտոմատ տրոտլինգ/դադար, սեփականատիրոջ ծանուցում, ստացիոնար գլխարկ։

SoD-ի խախտումը 'վիրահատության արգելափակում, դերի ժամանակավոր հեռացում, հետազոտություն և քաղաքականության ամրագրում։

Webhuks-ի փոխարինումը 'արգելքը առանց ստորագրության/TTL-ից, re-key, edpoint Swig-ից։

16) Ոնբորդինգը և կյանքի ցիկլը

1. Tenault: SSO/SCPS, բիլինգի պրոֆիլներ, գլոբալ քաղաքականություն։

2. Account: Տարածաշրջաններ, քվոտաներ, բյուջեներ, տվյալների գոտիներ, հիմնական դերեր։

3. Sub-acount: բանալիներ/webhuks, թիմերի դերեր, ռուսական։

4. JML/Recertiation 'իրավունքների եռամսյակային իրականացում, «քնած» հեռացում։

5. EOL 'արխիվը, վերանայումը, ունեցվածքի տեղափոխումը, բիլինգի լուծումը։

17) Chek-Show-Show-

  • Համաձայնեցնել Tenault Account-ը Sub-account-ի և ժառանգության կանոնները։
  • Նկարագրել դերերը (RBAC) և կոնտեքստային քաղաքականությունները (ABAC), SoD մատրիցը։
  • Սկսել SSO/SCJ, JML գործընթացներ և JIT-2019։
  • Ներդրեք քվոտաներ/բյուջեներ/kap կանոններ և alerting։
  • Տեղակայել KFC/Vox, ռոտացիաներ և shared գաղտնիքների արգելք։
  • Ներառեք քաղաքական-կոդը, որը ստորագրվել է օրինագծերով և WORM ամսագրերով։
  • Տեղադրեք API/webhuks կառավարման, էնդպոինտայի կարգավիճակը և աուդիտը։
  • Կառուցել dashbords J/FinOps/J/Compliae։
  • Անցկացնել GameDay 'ստեղնաշարի արտահոսք, քվոտա փոթորիկ, IDP հրաժարվելը, SoD խախտումը։
  • Կանոնավորաբար վերափոխել դերը և վերանայել սահմանները։

18) FAQ

Որտե՞ ղ պահել սահմանը Account-ի և Sub-account-ի միջև։

Այնտեղ, որտեղ փոխվում են ֆինանսները/համակարգիչները/կարգավորիչները (Account), իսկ Sub-account-ը 'թիմի/ապրանքի/չորեքշաբթի մասին։

Կարո՞ ղ եք «փչացնել» մի քանի Sub-account քվոտաները։

Այո, փամփուշտների և առաջնահերթությունների միջոցով, բայց ապահովիչների հետ «գոյատևման» կարողություններից։

Ինչպե՞ ս կարող ենք արագ տրամադրել հասանելիությունը։

JIT դիմումը MFA-ից և TTL-ից, ավտոլոգիան և post-մորտը արտոնյալ նստաշրջանների համար։

Արդյո՞ ք տարբեր բանալիներ են անհրաժեշտ։

Անշուշտ, առանձին Windows Accounts/բանալիներ dev/stage/2019-ի համար ցանցերի և իրավունքների մեկուսացման հետ։

Ռեզյումե 'Հաշիվների և ենթաօրենսդրների հիերարխիան կառավարման շրջանակ է' ընթերցված էակների կառուցվածքը, ժառանգվող քաղաքական գործիչները, խիստ քվոտաները և բիլինգը, անվտանգ ինքնությունը և ապացուցված աուդիտը։ Ներդրելով RBAC/ABAC/ReBAC, JIT/SoD և policy-as-code հիբրիդ, դուք կստանաք արագ ուռուցքաբանություն, կանխատեսելի ծախսեր և կայուն անվտանգություն ապրանքների, թիմերի և տարածաշրջանների մասշտաբով։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։