Зинанизоми ҳисобҳо ва зерсохторҳо
(Қисм: Амалиёт ва идоракунӣ)
1) Вазифа ва принсипҳо
Зинанизоми ҳисобҳо муайян мекунад, ки чӣ гуна созмонҳо ва одамон ба захираҳои платформа дастрасӣ пайдо мекунанд ва чӣ гуна тақсим кардани ҳуқуқҳо, квотаҳо, буҷаҳо ва масъулиятҳо.
Принсипҳо:- Ҷудокунии нигарониҳо: мо сохтори тиҷоратро дар дарахти субъект ва ҳуқуқҳоро дар сиёсат инъикос мекунем.
- Имтиёзи камтарин: пешфарз - нақшҳои ҳадди аққал, пешбурди муваққатӣ тавассути JIT.
- Композитсия: нақшҳо/квотаҳо/маҳдудиятҳо ба мерос гирифта мешаванд ва бекор карда мешаванд.
- Сиёсат-ас-Кодекс: сиёсати дастрасӣ, квотаҳо, биллинг - артефактҳои санҷидашуда.
- Аудитория - Ҳар як амал бо мавзӯъ, контекст ва имзо алоқаманд аст.
2) Модели истинодҳои иерархӣ
Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)- Иҷорагир: соҳиби шартномаҳо, биллинги сатҳи баланд, сиёсати ҷаҳонӣ ва SSO.
- Ҳисоб: минтақаи ҷудошудаи масъулият (бренди/кишвар/рамзи ширкат); буҷа/маҳдудиятҳои худ.
- Зерқисмат: воҳиди корӣ (маҳсулот/ҷараён/фармон); калидҳо, квотаҳо, нақшҳо ва аудити шумо.
3) Моделҳои авторизатсия
RBAC: роли Соҳиб/Админ/Оператор/Тамошобин/Биллинг/Мувофиқат.
ABAC: атрибуты 'минтақа', 'иҷорагир', 'ҳисоб', 'муҳит', 'risk _ score', 'дастгоҳ _ мавқеъ'.
РЕБАК: муносибатҳои лоиҳаҳо ва асрори "соҳибӣ/иштирок/шарҳ" -ро дорад.
Таҷриба: Гибрид - RBAC ҳамчун асоси хондан, ABAC барои маҳдудиятҳои контекстӣ (минтақа/вақт/дастгоҳ), Re
4) Намояндагӣ ва мерос
Ҳайати поёнӣ: Иҷорагир-администратор нақши администратори ҳисобро медиҳад, ҳамон - Зеркумита.
Аз ҳад зиёд: Квотаҳо/маҳдудиятҳо/сиёсатҳоро метавон дарахт мустаҳкам кард.
Сарҳадҳои эътимоднок: PII/Молия - танҳо дар сатҳи "минтақаҳои эътимод" дар сатҳи ҳисоб; Sub-ҳисоб нишонаҳо/агрегатҳоро мебинад.
Танаффус: дастрасии фавқулодда бо TTL кӯтоҳ, худкори ҳушдор ва пас аз марг.
5) Квотаҳо, буҷетҳо, ҳисоббаробаркунӣ
Квотаҳо: дархостҳо/сек, чорабиниҳо/рӯз, egress, нигаҳдорӣ, калидҳо/webhooks.
Буҷетҳо: сарпӯшҳо ва огоҳиҳои ҳармоҳа (80/90/100%), худкор/таваққуф.
Ҳисоббаробаркунӣ: ҳисобномаҳо дар сатҳи иҷорагир/ҳисоб; Қисматҳои зерқисмат ва хароҷот.
Нархгузории интиқол: пардохтҳои дохилӣ байни BU/минтақаҳо.
Истифодаи одилона: маҳдудиятҳои ҷамъиятӣ, меъёрҳо, муҳофизат аз "таркишҳо".
6) Шиносоӣ ва SSO/SCIM
SSO (SAML/OIDC): воридшавии мутамарказ дар сатҳи иҷорагир.
SCIM: эҷоди худкор/ғайрифаъолкунии корбарон/гурӯҳҳо ва ҳатмӣ ба нақшҳо.
JML (Joiner/Mover/Leaver): барориши худкори нақшҳои ибтидоӣ, таҷдиди назар ҳангоми тарҷума, ёдраскунии фаврӣ ҳангоми аз кор озод кардан.
MFA/FIDO2: ҳатмӣ барои маъмурон, молия ва дастрасӣ ба PII.
Ҳолати дастгоҳ: таҳаммулпазирии ҳолати дастгоҳ (рамзгузорӣ, EDR).
7) Ҳисобҳои хидматӣ ва калидҳо
Ҳисоби хидматрасонӣ дар як зер-ҳисоб + Муҳити зист, сирри муштарак нест.
Шиносаи сарбории корӣ: аломатҳои кӯтоҳмуддат, ҳатмӣ ба поёни/функсия.
KMS/Vault: гардиши махфӣ, дастрасӣ ба нақш, имзои DSSE.
Webhooks: Имзоҳои HMAC/EdDSA, 'nonce + timestamp', тирезаи TTL.
8) Модели маълумот (соддакардашуда)
'иҷорагир' '{id, ном, sso, billing_profile, сиёсатҳо []}'
'account' '{id, tenant_id, минтақа, legal_entity, квотаҳо {}, буҷаҳои {}, risk_tier}'
'sub _ account' '{id, account_id, маҳсулот, муҳит, калидҳо [], webhooks [], маҳдудиятҳои {}}'
'role' '{id, миқёс: иҷорагир' account 'sub _ account, иҷозатномаҳо []}'
'membership' '{tebut _ id, role_id, scope_ref, ttl, асоснок}'
'policy' '{навъи: rbac' abac 'sod' quota, версия, қоидаҳо, имзо} '
'audit _ event' {кӣ, дар куҷо, кай, trace_id, имзо} '
'quota _ usage' '{scope _ ref, metric, тиреза, истифодашуда, cap}'
9) Шартномаҳои API
Идоракунӣ:- 'POST/иҷорагирон/{ id }/accounts' - эҷод кардани ҳисоб (сиёсатҳо/квотаҳо/биллинг).
- 'POST/ҳисобҳо/{ id }/sub-ҳисобҳо' - эҷод кардани Sub-ҳисоб (калидҳо, вебҳукҳо).
- 'ПУТ/нақшҳо/{ id}' - сиёсати нақш; ' POST/аъзоён '- нақшро таъин кунед.
- 'POST/access/elevate' - JIT бо TTL ва асоснок тақвият меёбад.
- 'GET/квота/истифода' - истифода/ҳадди аққал; ' POST/квотаҳо/бекор кардан '.
- 'GET/аудит/чорабиниҳо? доираи =... '- гузоришҳои имзошуда.
- 'GET/status/access' - нақшҳои амалкунанда/TTL/калидҳо.
- Вебхуки: 'Квотаи Капед', 'Мӯҳлати иҷро', 'Калиди Ротатсия', 'Сиёсат иваз карда шуд'.
10) RACI (соҳаҳои асосӣ)
11) Метрика ва SLO
TTG (Вақт-ба-Грант): масъалаи дастрасии стандартии миёна ≤ 4 соат
Фарогирии JIT: ≥ 80% амалиётҳои имтиёзнок тавассути нақшҳои муваққатӣ.
Қоидавайронкуниҳо: 0 в prod; Бартараф кардани TTR ≤ 24 соат.
Дастрасии ятим: ҳиссаи ҳуқуқҳои "фаромӯшшуда" ≤ 0. 1%.
Дақиқии квота: мувофиқати ҳисобҳо/истифодаи ≥ 99. 99%.
Пуррагии аудит: 100% фаъолияти интиқодӣ/квитансия.
12) Панели панелҳо
Дастрасӣ ба саломатӣ: нақшҳои фаъол аз рӯи сатҳ, ба охир расидани вайронкунии TTL, SOD.
Финҳо: истифодаи квота, пешгӯии буҷа, аномалияҳои egress/compute.
Амният: гардиши калидӣ, нокомии ВКХ/SSO, сатҳи хавфи гурӯҳҳо.
Мувофиқат: ҳолати санҷиш, гузоришҳои аудит, вайронкунии сиёсат.
Амалиётҳо: дархостҳои дастрасии MTTR, TTFI барои фармонҳои нав.
13) Ҷудокунии маълумот ва махфият
Доменҳои маълумот: PII/Молия - Танҳо сатҳи ҳисоб; Sub-ҳисоб - агрегатҳо/токенҳо.
Минтақа: маҳаллисозии маълумот ва калидҳо дар як минтақа (минтақаҳои эътимод).
Дархостҳои PII: танҳо тавассути ҷабҳаҳои тасдиқшуда; токенизатсия ва ниқоб.
14) Хатарҳо ва зиддиятҳо
Модели ҳамвор: ҳама - ҳодисаҳо ва ихроҷи "администраторҳо".
Асрори муштарак: дастнорас будан ва имконнопазирии баррасиҳо.
Не ин қадар: Як шахс пардохтҳо/маҳдудиятҳоро эҷод ва тасдиқ мекунад.
Муҳитҳои нопурра: калидҳои dev дар prod; омезиши санҷиш ва маълумоти воқеӣ.
Нақшҳои "беохир": TTL/recertification → ҷамъоварии хатар нест.
Квотаҳои заиф: як зерқисмат қобилияти ҳамаро "мехӯрад".
15) Китобҳои бозии ҳодиса
Созишномаи калиди зерқисмат: бекоркунии фаврӣ, гардиши вобастагӣ, ҳисобкунии квотаҳо, аудити 7-30 рӯзи охир.
Аз ҳад зиёд квотаҳо: дроттлинг/таваққуфи автоматӣ, огоҳонидани соҳиб, ҳадди ақалли буҷет.
Вайрон кардани СО: бастани амалиёт, муваққатан аз байн бурдани нақш, тафтиш ва ислоҳи сиёсат.
Иваз намудани вебхукҳо: манъи қабули бидуни имзо/берун аз TTL, дубора калид, оштӣ бо нуқтаи ниҳоӣ.
16) Дар киштӣ ва давраи зиндагӣ
1. Оғози иҷорагир: SSO/SCIM, профили биллинг, сиёсати ҷаҳонӣ.
2. Эҷод кардани ҳисоб - минтақаҳо, квотаҳо, буҷетҳо, минтақаҳои маълумот, нақшҳои асосӣ
3. Зеркумита: калидҳо/вебхукҳо, нақшҳои гурӯҳӣ, ҳамгироӣ.
4. JML/Recertification: баррасии ҳар семоҳаи ҳуқуқҳо, худкор бартараф кардани "хуфтаҳо".
5. EOL: бойгонӣ, бозхонди калидӣ, интиқоли моликият, бастани биллинг.
17) Рӯйхати назорати амалисозӣ
- Муқоисаи иҷорагир → Ҳисобот → Қоидаҳои дарахти зеризаминӣ ва мерос.
- Нақшҳоро (RBAC) ва сиёсати контекстиро (ABAC), матритсаи So
- Равандҳои SSO/SCIM, JML ва JIT-ро оғоз кунед.
- Квотаҳо/буҷетҳо/қоидаҳои ҳадди аққалро ворид кунед ва ҳушёр кунед.
- KMS/Vault, гардишҳо ва сирри муштаракро ҷойгир кунед.
- Дохил кардани сиёсатҳо-ҳамчун-код, версияҳои имзошуда ва гузоришҳои WORM.
- Танзими идоракунии API/webhooks, нуқтаҳои ниҳоӣ ва аудит.
- Сохтани панели панели дастрасӣ/FIN/Амният/Мувофиқат.
- Гузаронидани Рӯзи Game: ихроҷи калидӣ, тӯфони квота, нокомии IDP, вайронкунии So-D.
- Мунтазам нақшҳо ва маҳдудиятҳои бознигариро тасдиқ кунед.
18) FAQ
Сарҳади байни Ҳисоб ва Зерқисматро дар куҷо нигоҳ доштан мумкин аст?
Дар куҷо тағир додани молия/мувофиқат/танзим (ҳисоб) ва зерқисмат - дар бораи даста/маҳсулот/муҳити зист.
Оё квотаҳои якчанд ҳисобҳои "ширеш" кардан мумкин аст?
Бале, тавассути ҳавзҳо ва афзалиятҳо, аммо бо иқтидори сақфҳои "сӯзондан".
Чӣ тавр зуд дастрасии муваққатиро додан мумкин аст?
Аризаи JIT бо ВКХ ва TTL, автология ва пас аз марг барои ҷаласаҳои имтиёзнок.
Оё ба ман калидҳои гуногун рӯзи чоршанбе лозиманд?
Талаб карда мешавад: Ҳисобҳои алоҳидаи хидматӣ/калидҳо барои dev/stage/prod бо ҷудокунии шабакаҳо ва ҳуқуқҳо.
Хулоса: Зинанизоми ҳисобҳо ва зерсохторҳо як чаҳорчӯбаи идоракунӣ мебошанд: сохтори хониши субъектҳо, сиёсати меросӣ, квотаҳои қатъӣ ва биллинг, шахсияти бехатар ва аудити тасдиқшаванда. Бо татбиқи гибридии RBAC/ABAC/re