應(yīng)用場景

為配置審計添加委派管理員賬號，可以將企業(yè)內(nèi)的組織管理職能和審計管理職能從IT架構(gòu)上隔離開，這對于企業(yè)云上IT的安全管理至關(guān)重要。

管理賬號作為企業(yè)的中心管理者默認(rèn)具有超級管理員權(quán)限，在企業(yè)IT管理的最佳實踐中應(yīng)使管理賬號聚焦在對資源目錄的組織管理上，盡量減少對其他云上配置的管理職責(zé)，避免超大權(quán)限的誤操作。但是當(dāng)企業(yè)在云上使用多賬號時，需要有一些面向整個資源目錄的操作，此時就需要管理賬號能夠通過委派管理員賬號來分擔(dān)職責(zé)。例如：管理賬號指定某個成員作為配置審計的委派管理員賬號，該賬號被企業(yè)內(nèi)審計部門所擁有和使用，審計部門通過該賬號來統(tǒng)一審計資源的合規(guī)性和設(shè)置資源數(shù)據(jù)投遞。

添加委派管理員賬號

企業(yè)可以在資源目錄中指定一個成員作為專職的審計賬號，即配置審計的委派管理員賬號。配置審計的委派管理員賬號將獲得管理賬號對配置審計的所有操作權(quán)限，且與管理賬號共同管理賬號組、查看賬號組內(nèi)成員的資源、管理賬號組內(nèi)的合規(guī)包和規(guī)則，并設(shè)置資源數(shù)據(jù)投遞。

更換委派管理員賬號

當(dāng)您為配置審計添加委派管理員賬號后，不建議更換該賬號。如果您必須更換委派管理員賬號，請先移除原有委派管理員賬號（賬號A），然后添加新的委派管理員賬號（賬號B）。

1. 在資源管理控制臺，使用管理賬號在資源目錄中移除配置審計原有委派管理員賬號（賬號A）。

   具體操作，請參見移除委派管理員賬號。

   說明

   僅移除原有委派管理員賬號（賬號A）對配置審計的管理權(quán)限，該賬號的所有配置保留。

2. 在資源管理控制臺，添加新的委派管理員賬號（賬號B）。

   具體操作，請參見添加委派管理員賬號。

   說明

   新的委派管理員賬號（賬號B）繼承原有委派管理員賬號（賬號A）的所有配置。

3. 在配置審計控制臺，新的委派管理員賬號（賬號B）可以在原有委派管理員賬號（賬號A）的基礎(chǔ)上繼續(xù)管理賬號組、查看賬號組內(nèi)成員的資源、管理賬號組內(nèi)的合規(guī)包和規(guī)則，并設(shè)置資源數(shù)據(jù)投遞。

   • 關(guān)于如何管理賬號組，請參見管理賬號組。

   • 關(guān)于如何設(shè)置資源數(shù)據(jù)投遞，請參見設(shè)置投遞數(shù)據(jù)到日志服務(wù)SLS、設(shè)置投遞數(shù)據(jù)到對象存儲OSS和設(shè)置投遞數(shù)據(jù)到消息服務(wù)MNS。