GH GambleHub

Gerarchia di account e subutilizzatori

(Sezione Operazioni e Gestione)

1) Attività e principi

La gerarchia degli account definisce come le organizzazioni e le persone accedono alle risorse della piattaforma e come vengono distribuiti diritti, quote, budget e responsabilità.

Principi:
  • Separation of Concerns: la struttura aziendale è riflessa nell'albero delle entità e i diritti nei policy.
  • Least Privilege: per impostazione predefinita, ruoli minimi, aumento temporaneo tramite JIT.
  • Composibilità: ruoli/quote/limiti vengono ereditati e ridefiniti.
  • Policy-as-Code: criteri di accesso, quote, biling - manufatti versionabili.
  • Auditability: ogni azione è correlata a un soggetto, un contesto e una firma.

2) Modello di gerarchia


Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)
Assegnazione livelli:
  • Tenant è proprietario di contratti, bollo di alto livello, politiche globali e SSO.
  • Account: zona di responsabilità isolata (marchio/paese/BE); budget/limiti personalizzati.
  • Sub-account: unità di lavoro (prodotto/flusso/comando) chiavi, quote, ruoli e verifiche.

3) Modelli di autorizzazione

RBAC: роли Owner/Admin/Operator/Viewer/Billing/Compliance.
ABAC: атрибуты `region`, `tenant`, `account`, `environment`, `risk_score`, `device_posture`.
La relazione «possiede/partecipa/revive» per progetti e segreti.

Pratica: ibrido - RBAC come base leggibile, ABAC per vincoli contestuali (regione/tempo/dispositivo), ReBAC per la proprietà delle risorse.

4) Delega e eredita

Delega verso il basso: Tenant-Admine conferisce il ruolo Account Ammin, quello Sub-Account Maintainer.
Ridefinizioni: quote/limiti/regole possono essere rafforzate verso il basso nell'albero.
Trust Boundaries: PEI/finanza - solo in «zone di fiducia» di livello Account; Sub-account vede token/aggregazioni.
Break-glass: accesso di emergenza con TTL corto, alert auto e post mortem.

5) Quote, budget, bollo

Quote: interrogazioni/secondi, eventi/giorno, egress, archiviazione, chiavi/webhoop.
Budget: caps e alert mensili (80/90/100%), auto-trotling/sospensione.
Bollette a livello Tenant/Account; Tagli sub-account e tag (cost centers).
Transfer Pricing - divisioni interne tra BU/Regioni.
Fair-usa: limiti pubblici, rate-limits, protezione contro i «burst».

6) Identità e SSO/SCIM

SSO (SAML/OIDC) - Accesso centralizzato a livello Tenant.
SCIM - Crea/disattiva automaticamente utenti/gruppi e si allinea ai ruoli.
JML (Joiner/Mover/Leaver) - Rilascio automatico dei ruoli iniziali, revisione durante la traduzione, revoca immediata al licenziamento.
MFA/FIDO2 è obbligatorio per gli ammiragli, la finanza e l'accesso al PII.
Tolleranza dello stato del dispositivo (crittografia, EDR).

7) Insegne di servizio e chiavi

Service Account per Sub-account + Environment, senza segreti shared.
Workload Identity - Token a breve durata, riferimento al sottostante/funzione.
KMS/Vault: rotazione dei segreti, accesso ai ruoli, firme DSSE.
Webhook: etichette HMAC/EdDSA, 'nonce + timestamp', finestra TTL.

8) Modello di dati (semplificato)

`tenant` `{id, name, sso, billing_profile, policies[]}`

`account` `{id, tenant_id, region, legal_entity, quotas{}, budgets{}, risk_tier}`

`sub_account` `{id, account_id, product, environment, keys[], webhooks[], limits{}}`

`role` `{id, scope: tenant|account|sub_account, permissions[]}`

`membership` `{subject_id, role_id, scope_ref, ttl, justification}`

`policy` `{type: rbac|abac|sod|quota, version, rules, signature}`

`audit_event` `{who, what, where, when, trace_id, signature}`

`quota_usage` `{scope_ref, metric, window, used, cap}`

9) Contratti API

Gestione:
  • «POST/tenants/{ id }/accounts» - Crea Account (criteri/quote/biglietto).
  • «POST/account/{ id }/sub-accounts» - Crea un sub-account (chiavi, webhouse).
  • PUT/roles/{ id} - Criterio ruolo; POST/memberships - Assegnare ruolo.
  • «POST/access/elevate» è una promozione JIT con TTL e giustificazione.
  • «GET/quote/usage» - Uso/cap; «POST/quote/override».
Controllo e stato:
  • `GET /audit/events? scope =... '- loghi firmati.
  • «GET/status/access» - ruoli validi/TTL/chiavi.
  • Вебхуки: `QuotaCapReached`, `RoleExpiring`, `KeyRotationDue`, `PolicyChanged`.

10) RACI (aree chiave)

AreaResponsibleAccountableConsultedInformed
Modello gerarchia/criteriPlatform IAMCTOSecurity, LegalTutti i BU
Ruoli e SoDSecurity/IAMCISOFinance, OpsControllo
Quote/budgetFinOps/PlatformCFO/CTOProduct, SREAccount proprietario
SSO/SCIM/JMLIT/IAMCIOHR, SecurityDirigenti
Controllo/RicontrolloComplianceCCOSecurity, OpsGestione

11) Metriche e SLO

TTG (Time-to-Grant) - La mediana di accesso standard è di 4 ore.
JIT Coverage: ≥ l' 80% delle operazioni privilegiate attraverso ruoli temporanei.

SoD Violations: 0 в prod; TTR di risoluzione 24 ore

Orphaned Access: la percentuale di diritti «dimenticati» è 0. 1%.
Quota Accuracy: corrispondenza di accredito/utilizzo del ≥ 99. 99%.
Audit Completeness: 100% azioni critiche firmate/ricevute.

12) Dashboard

Ruoli attivi per livello, TTL in scadenza, violazioni del sistema.
FinOps: uso di quote, previsione di bilancio, anomalie egress/compute.
Sicurezza: rotazione delle chiavi, insuccessi MFA/SSO, insabbiamento a rischio.
Compliance - Stato di riscrittura, controllo-login, violazioni dei criteri.
Operations: MTTR richieste di accesso, TTFI per nuovi comandi.

13) Separazione dei dati e privacy

Data Domains: PEI/Finanza - solo a livello di Account; Sub-account - unità/token.
Regionale: localizzazione dei dati e delle chiavi per-region (zone di fiducia).
Richieste di PII: solo attraverso i jobs approvati; Tornizzazione e occultamento.

14) Rischi e anti-pattern

Modello Flat, tutti «ammini», incidenti e fuoriuscite.
I segreti Shared sono la non tracciabilità e l'impossibilità delle recensioni.
No, una persona crea e approva i pagamenti/limiti.
Ambienti non completati: Chiavi UV in prod; miscelazione tra dati di prova e dati reali.
Ruoli «infiniti»: senza TTL/Ricircolo, accumulo di rischi.
Quote deboli: un sub-account «mangia» la capacità di tutti.

15) Playbook incidenti

Recensione immediata, rotazione delle dipendenze, ridefinizione delle quote, revisione degli ultimi 7-30 giorni.
Eccesso di quote: trottling automatico/pauser, notifica del proprietario, cappa temporanea di bilancio.
Violazione dell' SoD: blocco dell'operazione, rimozione temporanea del ruolo, indagine e fissazione della politica.
Sostituzione webhoop: impedisce l'accettazione senza firma/fuori TTL, re-key, stato-endpoint.

16) Onboording e ciclo di vita

1. Inizializzazione Tenant: SSO/SCIM, profilo di bollo, politiche globali.
2. Creazione di Account: regioni, quote, budget, aree dati, ruoli di base.
3. Sub-account - Chiavi/webhoop, ruoli di comando, integrazione.
4. JML/Recertazione: revisione trimestrale dei diritti, rimozione automatica dei «dormienti».
5. EOL: archivio, revoca delle chiavi, trasferimento di proprietà, chiusura del biglietto.

17) Assegno-foglio di implementazione

  • Concordare l'albero Tenant d'Account di Sub-account e le regole di eredità.
  • Descrivi ruoli (RBAC) e criteri contestuali (ABAC), matrice di SoD.
  • Avvia SSO/SCIM, processi JML e aumento JIT.
  • Immettere quote/budget/regole cap e alerting.
  • Espandi KMS/Vault, le rotazioni e la proibizione dei segreti shared.
  • Includere criteri-come-codice, comunicati firmati e registri WORM.
  • Configura API/webhoop di controllo, stato endpoint e controllo.

Costruire i dashboard è Access/FinOps/Security/Compliance.
La chiave in fuga, quota-tempesta, guasto, violazione della .

  • Ridefinire regolarmente i ruoli e rivedere i limiti.

18) FAQ

Dove tenere il confine tra Account e Sub-Account?
Dove cambiano la finanza/compilazione/regolazione (Account), mentre Sub-account parla di comando/prodotto/ambiente.

È possibile «incollare» quote multiple Sub-account?
Sì, attraverso i pool e le priorità, ma con i fusibili da bruciare la capacità.

Come si fa a rilasciare un accesso temporaneo?
Domanda JIT con MFA e TTL, autologa e post mortem per sessioni privilegiate.

Servono chiavi diverse il mercoledì?
Obbligatorio: singoli Service Accounts/chiavi per il dave/stage/prod con isolamento delle reti e dei diritti.

Riepilogo: La gerarchia degli account e dei subuser è una struttura di gestibilità: struttura leggibile delle entità, politiche ereditate, quote rigorose e bollo, identità sicure e verifiche dimostrabili. Con l'ibrido RBAC/ABAC/ReBAC, JIT/SoD e policy-as-code, si ottiene un rapido onboarding, un costo prevedibile e una sicurezza sostenibile con scalabilità su prodotti, team e regioni.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.