GH GambleHub

Hasaplaryň we kömekçi ulanyjylaryň iýerarhiýasy

(Bölüm: Amallar we Dolandyryş)

1) Wezipe we ýörelgeler

Hasaplaryň iýerarhiýasy guramalaryň we adamlaryň platforma çeşmelerine nädip girip biljekdigini we hukuklaryň, kwotalaryň, býudjetleriň we jogapkärçiligiň nähili paýlanýandygyny kesgitleýär.

Ýörelgeler:
  • "Concerns of Separation": işiň gurluşyny düýbi agaçda, hukuklary bolsa syýasatda görkezýäris.
  • Least Privilege: iň az rol, JIT arkaly wagtlaýyn ösüş.
  • Composability: rollar/kwotalar/çäkler miras alynýar we gaýtadan kesgitlenýär.
  • Policy-as-Code: giriş syýasaty, kwotalar, billing - wersiýa edilýän artefaktlar.
  • Auditability: her bir hereket subýekt, kontekst we gol bilen baglanyşdyrylýar.

2) Iýerarhiýanyň salgylanma modeli


Tenant
├─ Account - legally/operationally significant unit
│ ├─ Sub-account - Product/Region/Team/Project
│ │ ├─ Spaces/Projects/Environments: prod/stage/dev
│ │ └─ Roles and Groups (RBAC/ABAC) for People and Services
│ └─ Shares (limits, budgets, keys, integrations)
└─ Marketplace/Integrations/Affiliates (Outer Loops)
Derejeleri bellemek:
  • Tenant: şertnamalaryň eýesi, ýokary derejeli billing, global syýasatlar we SSO.
  • Account: izolirlenen jogapkärçilik zolagy (marka/ýurt/BE); öz býudjetleri/çäkleri.
  • Sub-account: iş birligi (önüm/akym/buýruk); açarlary, kwotalary, rollary we auditi.

3) Ygtyýarlylandyrmagyň modelleri

RBAC: роли Owner/Admin/Operator/Viewer/Billing/Compliance.
ABAC: атрибуты `region`, `tenant`, `account`, `environment`, `risk_score`, `device_posture`.
ReBAC: gatnaşyklar taslamalar we syrlar üçin "eýelik edýär/gatnaşýar/täzeden seredýär".

Amal: gibrid - RBAC okalýan esas hökmünde, ABAC kontekstdäki çäklendirmeler üçin (sebit/wagt/enjam), ReBAC çeşmelere eýelik etmek üçin.

4) Ygtyýarlyk we miras

Aşakdaky tabşyryk: Tenant-admin Account Admin roluny berýär, şol - Sub-account Maintainer.
Artykmaç kesgitlemeler: kwotalar/çäkler/syýasatlar agaç boýunça berkidilip bilner.
Trust Boundaries: PII/finans - diňe Account derejesiniň "ynam zolaklarynda"; Sub-account bellikleri/agregatlary görýär.
Break-glass: gysga TTL, awto-alert we post-mortem bilen gyssagly giriş.

5) Kwotalar, býujetler, billing

Kwotalar: soraglar/sek, wakalar/gün, egress, ammar, açarlar/webhuklar.
Býudjetler: aýlyk kaplar we alertler (80/90/100%), awto-trotling/togtatmak.
Billing: Tenant/Account derejesinde invoýslar; Sub-account we taglar boýunça kesmeler (cost centers).
Transfer Pricing: BU/sebitleriň arasyndaky içerki buýruklar.
Fair-use: köpçüligiň çäkleri, rate-limits, "burstlardan" goramak.

6) Şahsyýet we SSO/SCIM

SSO (SAML/OIDC): Tenant derejesinde merkezleşdirilen giriş.
SCIM: Ulanyjylary/toparlary awtomatiki döretmek/öçürmek we rollary baglanyşdyrmak.
JML (Joiner/Mover/Leaver): başlangyç rollaryň awto-berilmegi, terjime edilende täzeden seredilmegi, işden aýrylanda derrew yzyna çagyrylmagy.
MFA/FIDO2: administratorlar, maliýe we PII elýeterlilik üçin hökmanydyr.
Device Posture: enjamyň ýagdaýyna görä kabul etmek (şifrlemek, EDR).

7) Hyzmat hasaplary we açarlary

Service Account per Sub-account + Environment, shared-secrets.
Workload Identity: Gysga jübütlenen bellikler, podu/funksiýany baglanyşdyrmak.
KMS/Vault: syrlary aýlamak, rollara girmek, DSSE gollary.
Webhook: HMAC/EdDSA, 'nonce + timestamp', TTL-penjire gollary.

8) Maglumatlaryň modeli (ýönekeýleşdirilen)

`tenant` `{id, name, sso, billing_profile, policies[]}`

`account` `{id, tenant_id, region, legal_entity, quotas{}, budgets{}, risk_tier}`

`sub_account` `{id, account_id, product, environment, keys[], webhooks[], limits{}}`

`role` `{id, scope: tenant|account|sub_account, permissions[]}`

`membership` `{subject_id, role_id, scope_ref, ttl, justification}`

`policy` `{type: rbac|abac|sod|quota, version, rules, signature}`

`audit_event` `{who, what, where, when, trace_id, signature}`

`quota_usage` `{scope_ref, metric, window, used, cap}`

9) API şertnamalary

Dolandyryş:
  • 'POST/tenants/{ id }/accounts' - Account (syýasatlar/kwotalar/billing) döretmek.
  • 'POST/accounts/{ id }/sub-accounts' - Sub-account (açarlar, webhuklar) döretmek.
  • 'PUT/roles/{ id}' - rol syýasaty; 'POST/memberships' - rol bellemek.
  • 'POST/access/elevate' - TTL we esasly JIT-ösüş.
  • 'GET/quotas/usage' -/kapa; 'POST/quotas/override'.
Audit we statuslar:
  • `GET /audit/events? scope =... '- gol çekilen loglar.
  • 'GET/status/access' - işleýän rollar/TTL/açarlar.
  • Вебхуки: `QuotaCapReached`, `RoleExpiring`, `KeyRotationDue`, `PolicyChanged`.

10) RACI (esasy ýerler)

SebitResponsibleAccountableConsultedInformed
Iýerarhiýa/SyýasatPlatform IAMCTOSecurity, LegalÄhli BU
Rollar we SoDSecurity/IAMCISOFinance, OpsAudit
Kwotalar/býujetlerFinOps/PlatformCFO/CTOProduct, SREHasap eýeleri
SSO/SCIM/JMLIT/IAMCIOHR, SecurityDolandyryjylar
Audit/gaýtadan gözden geçirmekComplianceCCOSecurity, OpsDolandyryş

11) Metrikler we SLO

TTG (Time-to-Grant): standart elýeterliligi bermek üçin mediýa ≤ 4 sagat.
JIT Coverage: Wagtlaýyn rollar arkaly artykmaç amallaryň 80% -ini ≥.
SoD Violations: 0 в prod; TTR ýok etmek ≤ 24 sagat.
Orphaned Access: "unudylan" hukuklaryň paýy ≤ 0. 1%.
Quota Accuracy: hasaplamalaryň/ulanylyşyň gabat gelmegi ≥ 99. 99%.
Audit Completeness: Gol/kwitansiýa bilen kritiki hereketleriň 100% -i.

12) Daşbordlar

Access Health: TTL, SoD bozulmalarynyň gutarýan derejeleri boýunça işjeň rollar.
FinOps: kwotalary ulanmak, býudjet çaklamasy, egress/compute anomaliýalary.
Howpsuzlyk: açarlaryň aýlanmagy, MFA/SSO şowsuzlyklary, töwekgelçilik tizligi.
Compliance: resertifikasiýa ýagdaýy, audit-loglar, syýasatlaryň bozulmagy.
Operations: MTTR giriş soraglary, TTFI täze buýruklar üçin.

13) Maglumatlaryň bölünmegi we gizlinlik

Data Domains: PII/finans - diňe Account derejesinde; Sub-account - agregatlar/tokenler.
Sebitlilik: per-region (ynam zolagy) maglumatlarynyň we açarlarynyň lokalizasiýasy.
PII-e haýyşlar: diňe tassyklanan joblar arkaly; bellik etmek we gizlemek.

14) Töwekgelçilikler we anti-patternler

Flat-model: hemmesi - "dolandyryjylar" → hadysalar we syzmalar.
Shared-syrlar: yzarlanmazlyk we synlaryň mümkin däldigi.
SoD ýok: bir adam tölegleri/çäkleri döredýär we tassyklaýar.
Düşündirilmedik gurşaw: prodda dev-açarlar; synag we hakyky maglumatlaryň garyşmagy.
"Tükeniksiz" rollar: TTL/resertifikasiýasyz → töwekgelçilikleriň toplanmagy.
Gowşak kwotalar: bir Sub-account hemmeleriň kuwwatyny "iýýär".

15) Wakalaryň pleýbuklary

"Sub-account" açarynyň eglişigi: derrew yzyna almak, garaşlylygy üýtgetmek, kwotalary gaýtadan hasaplamak, soňky 7-30 günüň barlagy.
Kwotalaryň artykmaçlygy: awtomatiki trottling/pauzer, eýesiniň habarnamasy, wagtlaýyn býudjet kapitaly.
SoD bozulmagy: amalyň petiklenmegi, roluň wagtlaýyn aýrylmagy, syýasaty derňemek we düzetmek.
Webhuklary çalyşmak: TTL, re-key, barlyşyklaryň status-endpointinden gol çekmezden/daşardan kabul etmegi gadagan etmek.

16) Onbording we durmuş sikli

1. Tenant başlangyç: SSO/SCIM, billing profili, global syýasatçylar.
2. Account döretmek: sebitler, kwotalar, býudjetler, maglumat zolaklary, esasy rollar.
3. Sub-account: açarlar/webhuklar, toparlaryň rollary, integrasiýa.
4. JML/Resertifikasiýa: hukuklaryň çärýekde täzeden gözden geçirilmegi, "uklaýanlaryň" awto-aýrylmagy.
5. EOL: arhiw, açarlary yzyna almak, eýeçiligi geçirmek, billingiň ýapylmagy.

17) Girizmegiň çek-sanawy

  • Tenant → Account → Sub-account agajyny we miras düzgünlerini utgaşdyrmak.
  • Rollary suratlandyrmak (RBAC) we kontekstli syýasatlar (ABAC), SoD matrisi.
  • SSO/SCIM, JML amallary we JIT ösüşlerini başla.
  • Kwotalary/býudjetleri/kap-düzgünleri we alerting giriziň.
  • KMS/Vault, aýlanyş we paýlaşylan syrlary gadagan etmek.
  • Kod syýasatlaryny, gol çekilen neşirleri we WORM magazinesurnallaryny öz içine alyň.
  • Dolandyryş API/webhuklary, status-endpoints we audit guruň.
  • Access/FinOps/Security/Compliance dashbordlaryny guruň.
  • GameDay geçiriň: açar syzmagy, kwota-tupan, IdP şowsuzlygy, SoD bozulmasy.
  • Rollary yzygiderli täzeden gözden geçirmek we çäkleri täzeden gözden geçirmek.

18) FAQ

Account bilen Sub-account arasyndaky serhedi nirede saklamaly?
Maliýe/complayens/düzgünleşdiriji (Account) üýtgeýän ýerinde we Sub-account - topar/önüm/gurşaw hakda.

Birnäçe Sub-account kwotalaryny "ýelmemek" mümkinmi?
Hawa, howuzlar we ileri tutulýan ugurlar arkaly, ýöne konteýneriň "ýakylmagyna" garşy goragçylar bilen.

Wagtlaýyn elýeterliligi nädip çalt bermeli?
MFA we TTL bilen JIT-programma, awtologiýa we artykmaç sessiýalar üçin post-mortem.

Çarşenbe günleri dürli açarlar gerekmi?
Hökmany: Aýry-aýry Service Accounts/tor izolýasiýasy we hukuklary bolan dev/stage/prod üçin açarlar.

Gysgaça mazmuny: Hasaplaryň we subuslaýjylaryň iýerarhiýasy - dolandyrylýanlygyň çarçuwasy: mazmunyň okalýan gurluşy, miras galan syýasatçylar, berk kwotalar we billing, ygtybarly şahsyýetler we subut edilýän audit. RBAC/ABAC/ReBAC, JIT/SoD we policy-as-code gibridini ornaşdyrmak bilen, önümler, toparlar we sebitler boýunça masştab edilende çalt obbord, öňünden aýdyp boljak çykdajylar we durnukly howpsuzlyk alarsyňyz.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.