日本电影一区二区_日本va欧美va精品发布_日本黄h兄妹h动漫一区二区三区_日本欧美黄色

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

1.多賬號架構(gòu)設(shè)計

使用阿里云資源目錄RD,就像在一個大倉庫中整理和分類存放物品一樣,為了幫助我們建立一個清晰的云資源層級結(jié)構(gòu),基于資源目錄可以方便地管理和查找所有的云資源,提高資源的利用率和安全性,并簡化管理工作,讓我們更輕松地掌控和管理云上的各項(xiàng)資源。

根據(jù)阿里云最佳實(shí)踐、當(dāng)前公司的實(shí)際情況和未來的可擴(kuò)展情況,資源目錄配置建議采用以下架構(gòu)進(jìn)行配置:

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

賬號類型說明

  • 企業(yè)管理賬號:(Master Account,簡稱MA)作為多賬號體系的根賬號存在,負(fù)責(zé)對整體組織進(jìn)行管理。承擔(dān)以下職責(zé):
    • 開通和管理資源目錄。
    • 創(chuàng)建和組織其他賬號。
    • 擁有企業(yè)所有賬號的管理員權(quán)限。
    • 可以管理所有資源的賬單和支付相關(guān)的財務(wù)信息。
  • 日志賬號:(Logging Account)用于聚合與審計日志的賬號。承擔(dān)以下職責(zé):
    • 聚合及保存所有日志方便進(jìn)行統(tǒng)一的查看與審計。
    • 使用者為安全團(tuán)隊。
  • 應(yīng)用賬號:(Application Account)作為一般的業(yè)務(wù)賬號用于部署應(yīng)用。承擔(dān)以下職責(zé):
    • 在權(quán)限范圍內(nèi)根據(jù)業(yè)務(wù)需求開通并管理各類云資源例如ECS、RDS、OSS、SLB、ACK等。

資源夾說明

資源夾類似于文件夾,用于組織和管理云上的資源。在阿里云資源目錄中,資源夾是用來管理多個賬號下的所有資源實(shí)例的概念。

2.資源目錄配置

1、使用企業(yè)管理賬號,在資源管理-資源目錄-概覽處開通資源目錄

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

開通資源目錄后,系統(tǒng)會為您創(chuàng)建一個root資源夾,并將當(dāng)前的登錄賬號設(shè)置為管理賬號。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

2、按下表要求新建資源夾,點(diǎn)擊“創(chuàng)建資源夾”按鈕,在右側(cè)彈出界面中輸入要創(chuàng)建的文件夾名稱,點(diǎn)擊確認(rèn)按鈕完成資源夾的創(chuàng)建。

歸屬資源夾

新建資源夾名稱

Root

Core

Root

Project

Core

Management

Core

Shared

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

3.邀請成員

1、在資源管理-資源目錄-邀請成員處,點(diǎn)擊“邀請成員”按鈕,在右側(cè)彈出界面中,填寫應(yīng)用主賬號的UID,“歸屬資源夾”選擇“Project”,勾選“我已了解此風(fēng)險”,點(diǎn)擊“確定”按鈕。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

2、使用應(yīng)用賬號(被邀請的賬號),在資源管理-資源目錄-概覽處,點(diǎn)擊“查看邀請”,在操作列單擊“處理邀請”。在處理邀請對話框,仔細(xì)閱讀邀請信息,然后選中風(fēng)險提示框,最后單擊“接受邀請”。被邀請方成功加入資源目錄后,可以在資源目錄的設(shè)置頁面,查看到資源目錄相關(guān)信息。

3、在資源管理-資源目錄-概覽處,選擇“成員列表”,可以看到已接受邀請的賬號。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

4.新建日志賬號

1、使用企業(yè)管理賬號,在資源管理-資源目錄-創(chuàng)建成員處,點(diǎn)擊“創(chuàng)建成員”按鈕,按日志賬號命名規(guī)范,在“創(chuàng)建成員”界面填寫“阿里云賬號名稱”和“顯示名稱”。

阿里云賬號名稱

顯示名

結(jié)算方式

歸屬資源夾

XXX-Ali-Logging

XXX-Ali-Logging

使用管理賬號為新成員付款

Management

因財務(wù)托管目前支持阿里云直客與Reseller伙伴關(guān)聯(lián)客戶,我們賬號的客戶身份暫不支持開通財務(wù)托管,所以無法選擇使用管理賬號為新成員付款。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

選擇第二種“使用已有成員為新成員付款”,提示“Trusteeship is only available for alibaba directselling accounts and alibaba channel partner (except Agency) enduser.”,與阿里云聯(lián)系后知道當(dāng)前賬號做財務(wù)關(guān)聯(lián),只能使用財務(wù)管理的模式,不能使用財務(wù)托管。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

所以,這里我們選擇“新成員自主付款”,完成上述配置后點(diǎn)擊“確定”按鈕。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

2、創(chuàng)建賬號默認(rèn)會放到Root資源夾下,在資源管理-資源目錄-概覽處,選擇成員列表,找到剛創(chuàng)建的日志賬號,點(diǎn)擊右邊的移動按鈕。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

選擇Root-Core-Management資源夾,點(diǎn)擊“確定”按鈕。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

如下圖所示,日志賬號已移動到root/Core/Management目錄下。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

3、通過管理賬號的RAM用戶扮演成員RAM角色的方式登錄日志賬號的阿里云控制臺。給需要登錄日志賬號的ram賬號,至少授予以下權(quán)限:

  • AliyunSTSAssumeRoleAccess:調(diào)用STS服務(wù)AssumeRole接口的權(quán)限。
  • AliyunResourceDirectoryFullAccess:管理資源目錄服務(wù)(ResourceDirectory)的權(quán)限。

說明

如果該RAM用戶用作管理員,您也可以直接授予AdministratorAccess權(quán)限。

登錄該RAM賬號,在資源管理-資源目錄-概覽處,選擇“成員列表”選項(xiàng)卡,找到剛創(chuàng)建的日志賬號,點(diǎn)擊該賬號右側(cè)的“登錄賬號”按鈕,登錄日志賬號進(jìn)行日志和審計相關(guān)配置。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

5.日志賬號配置財務(wù)關(guān)聯(lián)

5.1邀請日志賬號歸屬

使用企業(yè)管理賬號的主賬號,點(diǎn)擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接,邀請日志賬號歸屬。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

5.2資源賬號轉(zhuǎn)為云賬號

第一步、為資源賬號設(shè)置安全手機(jī)號碼

用企業(yè)管理賬號,點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登錄資源管理控制臺。在左側(cè)導(dǎo)航欄,選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號,單擊目標(biāo)資源賬號操作列的綁定安全手機(jī)

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

綁定安全手機(jī)對話框,輸入安全手機(jī)號碼,然后獲取并輸入驗(yàn)證碼。單擊確定。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

第二步、為資源賬號設(shè)置安全郵箱

用企業(yè)管理賬號,點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登錄資源管理控制臺。在左側(cè)導(dǎo)航欄,選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號,單擊目標(biāo)成員顯示名稱。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

成員詳情面板,單擊成員賬號名稱旁邊的修改

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

修改賬號郵箱對話框,輸入新的電子郵箱地址,然后單擊確定。系統(tǒng)會自動向您設(shè)置的電子郵箱發(fā)送驗(yàn)證郵件,您需要在24小時之內(nèi)進(jìn)行確認(rèn)。未確認(rèn)之前,您可以重發(fā)驗(yàn)證郵件或者取消本次修改。登錄對應(yīng)的電子郵箱,進(jìn)行修改確認(rèn)。確認(rèn)后,該成員的賬號名稱和安全郵箱將會被同時修改。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

第三步、資源賬號切換為云賬號

用企業(yè)管理賬號,點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登錄資源管理控制臺。在左側(cè)導(dǎo)航欄,選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號,單擊目標(biāo)成員操作列的切換為云賬號。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

切換為云賬號對話框,閱讀風(fēng)險提示并選中風(fēng)險提示框,然后單擊確定

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

第四步、云賬號找回密碼點(diǎn)擊https://passport.aliyun.com/ac/pc/password_find_v_2.htm?fromSite=6&appName=aliyun&lang=zh_CN##returnUrl##此鏈接,輸入剛綁定的手機(jī)號或郵箱找回密碼。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

5.3接受歸屬

找回密碼后,點(diǎn)擊此鏈接https://account.aliyun.com/login/login.htm登錄日志賬號的主賬號。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

點(diǎn)擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接,選擇待確認(rèn)的關(guān)聯(lián)邀請,點(diǎn)擊“立即處理”按鈕。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

點(diǎn)擊“同意加入”,完成企業(yè)歸屬。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

5.4配置財務(wù)關(guān)聯(lián)

第一步、賬號移動

使用企業(yè)管理賬號的主賬號,點(diǎn)擊https://ea.console.aliyun.com/account-manage/此鏈接,登錄企業(yè)賬號中心控制臺,選擇左側(cè)導(dǎo)航欄中的“組織與賬號”,在組織目錄右側(cè)的列表頁,選擇要操作的日志賬號,點(diǎn)擊“移動”。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

移動到指定組織節(jié)點(diǎn),然后點(diǎn)擊“確認(rèn)移動”。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

第二步、賬號授權(quán)及結(jié)算策略

使用企業(yè)管理賬號,點(diǎn)擊https://ea.console.aliyun.com/account-manage/此鏈接,登錄企業(yè)賬號中心控制臺,選擇左側(cè)導(dǎo)航欄中的“組織與賬號”,在組織目錄右側(cè)的列表頁,選擇要操作的日志賬號,點(diǎn)擊“詳情”進(jìn)入。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

在“高級配置”中找到“賬號角色”,選擇“基礎(chǔ)賬號成員”?!柏攧?wù)結(jié)算策略”,點(diǎn)擊”修改“,在彈框中選擇“財務(wù)管理后,點(diǎn)擊確定。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

第三步、共享信控

若結(jié)算策略為“財務(wù)管理”,則使用企業(yè)管理賬號,點(diǎn)擊https://usercenter2.aliyun.com/finance/union-account/overview此鏈接,設(shè)置日志賬號的所需額度。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

5.5云賬號轉(zhuǎn)為資源賬號

用企業(yè)管理賬號,點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/,登錄資源管理控制臺。在左側(cè)導(dǎo)航欄,選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號,單擊目標(biāo)成員操作列的切換為資源賬號。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

6.跨賬號資源搜索

完成資源目錄搭建企業(yè)的多賬號體系結(jié)構(gòu)后,使用企業(yè)管理賬號,在資源管理-資源中心-跨賬號資源搜索處,點(diǎn)擊“開始使用”按鈕,開通跨賬號資源搜索。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

選擇要查看的賬號或賬號下的資源組,即可看到對應(yīng)的所有資源。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

支持自定義SQL語句去做資源查詢,無需再通過阿里云OpenAPI的方式編寫代碼去批量查詢所需信息。通過保存使用頻率較高的SQL,并提供一鍵查詢功能,可以提高便利性和降低使用SQL的門檻。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

7.更多應(yīng)用場景

資源目錄管控策略

資源目錄管控策略是一種基于資源結(jié)構(gòu)(資源夾或成員)的訪問控制策略,可以統(tǒng)一管理資源目錄各層級內(nèi)資源訪問的權(quán)限邊界,建立企業(yè)整體訪問控制原則或局部專用原則。管控策略只定義權(quán)限邊界,并不真正授予權(quán)限,您還需要在某個成員中使用訪問控制(RAM)設(shè)置權(quán)限后,相應(yīng)身份才具備對資源的訪問權(quán)限。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

使用資源目錄和共享VPC實(shí)現(xiàn)多賬號網(wǎng)絡(luò)互通

企業(yè)可以采用云企業(yè)網(wǎng)CEN(Cloud Enterprise Network)將多個賬號間的專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)進(jìn)行連接,以實(shí)現(xiàn)多賬號間的網(wǎng)絡(luò)互通。但隨著業(yè)務(wù)復(fù)雜度的增加,會面臨如下的新問題,比如說:分散配置導(dǎo)致無法進(jìn)行網(wǎng)絡(luò)集中運(yùn)維、重復(fù)網(wǎng)絡(luò)資源配置導(dǎo)致成本增加、VPC數(shù)量增多導(dǎo)致網(wǎng)絡(luò)復(fù)雜度提升等等。為了避免上述問題,企業(yè)可以使用資源目錄RD(Resource Directory)將多賬號有序組織和管理,然后通過共享VPC快速實(shí)現(xiàn)多賬號間的網(wǎng)絡(luò)互通。

企業(yè)阿里云多賬號統(tǒng)一管理實(shí)踐(阿里云注冊多個賬號)

使用云SSO統(tǒng)一管理企業(yè)多賬號的身份和權(quán)限

云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號統(tǒng)一身份管理與訪問控制。云SSO管理員可以創(chuàng)建多個云SSO用戶,統(tǒng)一配置云SSO用戶對RD內(nèi)任意成員的訪問權(quán)限(訪問配置)。當(dāng)云SSO用戶登錄用戶門戶時,可以查看自己有權(quán)限訪問的RD成員列表,以及在每個RD成員中擁有的訪問權(quán)限(訪問配置),然后以訪問配置中的權(quán)限訪問RD成員中對應(yīng)資源。

相關(guān)新聞

聯(lián)系我們
聯(lián)系我們
公眾號
公眾號
在線咨詢
分享本頁
返回頂部
犍为县| 涪陵区| 邵阳县| 英吉沙县| 寻甸| 敦煌市| 东阳市| 高要市| 会昌县| 偃师市| 义乌市| 安乡县| 临夏县| 牡丹江市| 于田县| 明光市| 松原市| 娄烦县| 东乌| 长治县| 苏尼特右旗| 周宁县| 邯郸县| 水城县| 凉城县| 宁南县| 读书| 龙江县| 奉新县| 沙洋县| 大邑县| 虞城县| 巨野县| 尤溪县| 高安市| 社会| 北京市| 岫岩| 宁远县| 抚州市| 财经|