帐号安全下面我们将讨论ACME内部的帐号安全：其中包含一些核心概念：组织结构：ACME这个公司代表的是一个组织；2、SharedService：共享服务，它包括DNS、活动目录、监控等等，该服务是其他所有VPC需要访问的服务，由CoreAccout管理；该服务还包括相应的安全漏洞扫描服务，该服务可在全网范围内通过漏洞扫描进行漏洞评估、检测和修复操作；

网络：云上的VPC通过DirectConnect和ACME的数据中心(数据中心)连接；OU:ACME下属的BU，如物流等；下面介绍核心逻辑：Root帐号：首先ACME这个组织有一个Root帐号，它只具有相应的管理功能，这个帐号没有AK功能，在因特网上也无法访问，只是作为OneIdentity的内部核心帐号管理平台来管理用户的帐号；

BU帐号：这个时候通过ACME发布BU帐号，这个时候Root帐号根据BU的特性设置了相应的SCP帐号(ServiceControlPolices)帐号，设计BU级别的帐号，比如BU根据业务特点只能访问虚拟机、数据库、安全管理、数据处理服务等云产品，而且BU帐号的权限是直接继承的，BU的主要帐号开始授予以下的业务子帐号，不同BU下的业务子帐号，不同BU下的业务间是相互隔离的，即某个BU下的业务出现漏洞，如果VPC网络没有被打通，黑客就只有这个业务帐号，不能逃出来进行更广泛的控制；

Core帐户：核心(Core)帐户用于访问一些公共服务，其中具体介绍安全服务：包含日志存储Logtail服务、安全日志、活动跟踪等日志，以及安全扫描等基础结构服务：DNS、LDAP/ActiveDirectory、部署工具和平台、监控等等；第四，SCP：为组织中的成员帐户指定最大权限。在SCP中，可以限制ACME服务、资源和单独的API操作，这些操作可以在每个成员账户中被限制。也可以定义关于何时限制ACME服务、资源和API操作的访问的标准。甚至组织中的成员帐户的管理员也会受到这些限制。如果ACMEOrganizations阻止对某个成员帐户的服务、资源或API操作的访问，那么该帐户中的用户或角色就不能访问它。即便会员帐户的管理员明确授权了IAM策略中的这种权限，访问仍被阻止。

其他：其他包括IAM授权(IP白名单，细粒度访问)、审计、CloudTrails日志审计以及其他有关账户异常威胁检测(AK异常调用)等部分，不再赘述；标识安全，接下来，ACMECSE团队主要是将内部IT服务迁移到云上，2000+的应用非常庞大，因此ACMECSE团队采用零信任架构，将整个2000+IT系统都引入ACMEMidway零信任架构。