Эсептердин жана субпользовательдердин иерархиясы

(Бөлүк: Операциялар жана башкаруу)

1) Милдет жана принциптер

Аккаунттардын иерархиясы уюмдар жана адамдар платформанын ресурстарына кантип кире аларын жана укуктар, квоталар, бюджеттер жана жоопкерчилик кандай бөлүштүрүлөрүн аныктайт.

• Concerns Separation: бизнестин түзүлүшү даракта чагылдырылат, ал эми укуктар - саясатта.
• Least Privilege: демейки - минималдуу ролдору, JIT аркылуу убактылуу жогорулатуу.
• Composability: ролдор/квоталар/лимиттер мурасталат жана кайра аныкталат.
• Policy-as-Code: кирүү саясаты, квота, биллинг - версиялануучу экспонаттар.
• Аудитордук жөндөмдүүлүк: ар бир иш-аракет субъект, контекст жана кол менен байланышкан.

2) Иерархиянын референттик модели

Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)

• Tenant: келишимдердин ээси, жогорку деңгээлдеги биллинг, глобалдык саясатчылар жана SSO.
• Account: өзүнчө жоопкерчилик зонасы (бренд/өлкө/BE); өз бюджеттери/лимиттери.
• Sub-account: жумушчу бирдиги (продукт/агым/команда); алардын ачкычтарын, квоталарын, ролдорун жана аудитин.

3) Авторизация моделдери

RBAC: роли Owner/Admin/Operator/Viewer/Billing/Compliance.
ABAC: атрибуты `region`, `tenant`, `account`, `environment`, `risk_score`, `device_posture`.
ReBAC: мамилелер долбоорлор жана сырлар үчүн "таандык/катышкан/revewit".

Практика: гибрид - RBAC окуу базасы катары, контексттик чектөөлөр үчүн ABAC (аймак/убакыт/түзмөк), ReBAC ресурстарга ээлик кылуу.

4) Өткөрүп берүү жана мурастоо

Төмөндө Делегация: Тенант-админ ролун берет Account Admin, ал - Sub-account Maintainer.
Кайра аныктамалар: квоталар/лимиттер/саясатчылар жыгачтан ылдый карай катаалдашы мүмкүн.
Trust Boundaries: PII/каржы - бир гана "ишеним зоналары" Account деңгээл; Sub-account токендерди/агрегаттарды көрөт.
Break-glass: кыска TTL, auto-alert жана post-mortem менен өзгөчө мүмкүнчүлүк.

5) Квоталар, бюджеттер, биллинг

Квоталар: суроолор/сек, окуялар/күн, egress, сактоо, ачкычтар/вебхактар.
Бюджеттер: айлык капкалар жана алерталар (80/90/100%), авто-тротлинг/токтото туруу.
Биллинг: Tenant/Account деңгээлиндеги инвойстор; Sub-account жана тегдер боюнча кесүү (cost centers).
Transfer Pricing: БУЛ/региондор ортосундагы ички тартиби.
Fair-use: коомдук лимиттер, rate-limits, "бурсттар" коргоо.

6) Идентификация жана SSO/SCIM

SSO (SAML/OIDC): Tenant денгээлде борборлоштурулган кирүү.
SCIM: колдонуучулардын/топтордун автоматтык түзүү/өчүрүү жана ролдорду байланыштыруу.
JML (Joiner/Mover/Leaver): баштапкы ролдорду авто берүү, которууда кайра карап чыгуу, жумуштан бошотууда дароо жооп берүү.
MFA/FIDO2: администраторлор, каржы жана PII жетүү үчүн милдеттүү болуп саналат.
Device Posture: аппараттын абалы боюнча кабыл алуу (коддоо, EDR).

7) Сервистик эсептер жана ачкычтар

Service Account per Sub-Account + Environment, эч кандай жашыруун сыр.
Workload Identity: кыскача токендер, podu/милдеттерин байлап.
KMS/Vault: сырларды айлантуу, ролдорго жетүү, DSSE кол тамгалары.
Webhook: HMAC/EdDSA кол тамгалар, 'nonce + timestamp', TTL терезе.

8) Маалыматтар модели (жөнөкөйлөштүрүлгөн)

`tenant` `{id, name, sso, billing_profile, policies[]}`

`account` `{id, tenant_id, region, legal_entity, quotas{}, budgets{}, risk_tier}`

`sub_account` `{id, account_id, product, environment, keys[], webhooks[], limits{}}`

`role` `{id, scope: tenant|account|sub_account, permissions[]}`

`membership` `{subject_id, role_id, scope_ref, ttl, justification}`

`policy` `{type: rbac|abac|sod|quota, version, rules, signature}`

`audit_event` `{who, what, where, when, trace_id, signature}`

`quota_usage` `{scope_ref, metric, window, used, cap}`

9) API келишимдери

• 'POST/tenants/{ id }/accounts' - Account (саясат/квота/биллинг) түзүү.
• 'POST/accounts/{ id }/sub-accounts' - Sub-account (ачкычтар, вебхоктор) түзүү.
• 'PUT/roles/{ id}' - роль саясаты; 'POST/memberships' - ролду дайындоо.
• 'POST/access/elevate' - TTL жана негиздемеси менен JIT жогорулатуу.
• 'GET/quotas/usage' - колдонуу/cap; 'POST/quotas/override'.

• `GET /audit/events? scope =... '- кол коюлган логиндер.
• 'GET/status/access' - активдүү ролдор/TTL/ачкычтар.
• Вебхуки: `QuotaCapReached`, `RoleExpiring`, `KeyRotationDue`, `PolicyChanged`.

10) RACI (негизги аймактар)

11) Метрика жана SLO

TTG (Time-to-Grant): стандарттык жеткиликтүүлүк медиасы ≤ 4 саат.
JIT Coverage: ≥ 80% убактылуу ролдору аркылуу артыкчылыктуу иш.
SoD Violations: 0 в prod; TTR жоюу ≤ 24 саат.
Orphaned Access: "унутулган" укуктардын үлүшү ≤ 0. 1%.
Quota Accuracy: эсептөөлөр/пайдалануу дал ≥ 99. 99%.
Audit Completeness: 100% кол/дүмүрчөк менен сын иш-аракеттер.

12) Дашборд

Access Health: TTL, SoD бузууларды аяктап, денгээлде активдүү ролдору.
FinOps: квота колдонуу, бюджеттин болжолу, egress/compute аномалиялары.
Security: ачкычтарды айлантуу, MFA/SSO мүчүлүштүктөрү, тобокелдик-тездик.
Compliance: кайра иштетүү статусу, аудит-логи, саясат бузуулар.
Operations: MTTR кирүү суроо, жаңы командалар үчүн TTFI.

13) Маалыматтарды ажыратуу жана купуялуулук

Data Domains: PII/каржы - бир гана Account деъгээлинде; Sub-account - агрегаттар/токендер.
Регионалдуулук: маалыматтарды жана ачкычтарды локалдаштыруу per-region (ишеним зоналары).
PIIге суроо-талаптар: бекитилген Jobs аркылуу гана; токенизация жана маскировка.

14) Тобокелдиктер жана анти-үлгүлөрү

Flat модели: баары - "админдер" → окуялар жана агып.
Shared-сырлар: байкабастык жана сын-пикирлердин мүмкүн эместиги.
Жок SoD: бир адам түзөт жана төлөмдөрдү/чектөөлөрдү бекитет.
Undescription чөйрөлөр: dev-ачкычтар менен prod; тесттик жана реалдуу маалыматтарды аралаштыруу.
"Чексиз" ролдору: TTL/кайра иштетүү жок → тобокелдиктерди топтоо.
алсыз квота: бир Sub-account "жеп" бардык кубаттуулугу.

15) Playbook окуялар

Sub-account ачкычынын компромисстери: дароо кайра чакыртып алуу, көз карандылыкты ротациялоо, квоталарды кайра эсептөө, акыркы 7-30 күндүк аудит.
Ашыкча квота: автоматтык троттлинг/паузер, ээсине билдирүү, убактылуу бюджеттик капчык.
SoD бузуу: ишин бөгөт коюу, ролун убактылуу алып салуу, иликтөө жана саясатты бекитүү.
Вебхуктарды алмаштыруу: кол коюусуз/TTLден тышкары кабыл алууга тыюу салуу, re-key, текшерүү абалы.

16) Онбординг жана жашоо цикли

1. Tenant Initiative: SSO/SCIM, биллинг кароо, глобалдык саясат.
2. Account түзүү: региондор, квоталар, бюджеттер, маалымат зоналары, негизги ролдор.
3. Sub-account: ачкычтар/вебхактар, командалардын ролдору, интеграция.
4. JML/Recertification: чейректик укуктарды кайра карап чыгуу, auto-алып салуу "уктап".
5. EOL: архив, ачкычтарды чакыртып алуу, менчикти өткөрүп берүү, биллингди жабуу.

17) Киргизүү чек-тизмеси

• Tree Tenant макул → Account → Sub-Account жана мурас эрежелери.
• Ролдорду сүрөттөө (RBAC) жана контексттик саясат (ABAC), SoD матрицасы.
• SSO/SCIM, JML жана JIT жогорулатуу баштоо.
• Квоталарды/бюджеттерди/кап-эрежелерди жана алертингди киргизүү.
• KMS/Vault жайылтуу, айлануу жана жашыруун жашыруун тыюу салуу.
• Code саясатын, кол коюлган релиздерди жана WORM журналдарды киргизүү.
• башкаруу API/Webhooks, статус-EndPoints жана аудит орнотуу.
• Dashboard Access/FinOps/Security/Compliance куруу.
• Get GameDay: ачкычтын агып чыгышы, квота-бороон, IdP бузулушу, SoD бузуу.
• Дайыма ролдорду кайра карап чыгуу жана лимиттерди карап чыгуу.

18) FAQ

Account жана Sub-account ортосундагы чек кайда?
Кайсы жерде каржы/комплаенс/жөнгө салуучу (Account), ал эми Sub-account команда/продукт/чөйрө жөнүндө өзгөрөт.

Бир нече Sub-account квоталарын "жабыштыруу" мүмкүнбү?
Ооба, бассейндер жана артыкчылыктар аркылуу, бирок "күйгүзүү" контейнерлери менен.

Кантип тез убактылуу мүмкүнчүлүк берүү керек?
MFA жана TTL менен JIT өтүнмө, autologing жана артыкчылык сессиялар үчүн Post-Мортем.

Шаршемби күндөрү ар кандай ачкычтар керекпи?
Милдеттүү: өзүнчө Service Accounts/тармактар ​ ​ жана укуктарды изоляциялоо менен dev/stage/prod үчүн ачкычтар.

Резюме: Эсептердин жана суб-пайдалануучулардын иерархиясы башкаруунун алкагы болуп саналат: жактардын окулуучу түзүлүшү, мураска калган саясатчылар, катуу квоталар жана биллинг, коопсуз идентификациялар жана далилденген аудит. RBAC/ABAC/ReBAC, JIT/SoD жана policy-as-code гибридин киргизүү менен, сиз өнүмдөрдү, буйруктарды жана аймактарды масштабдоодо тез байланышты, болжолдуу чыгымдарды жана туруктуу коопсуздукту аласыз.