統(tǒng)一配置身份權(quán)限
在上云初期,提前規(guī)劃合理的企業(yè)身份權(quán)限管理方案,就可以在業(yè)務(wù)規(guī)模化上云后,降低身份權(quán)限管理風險、提升多賬號的管理效率。云治理中心為您提供了引導(dǎo)式的身份權(quán)限管理初始化功能,可以對資源目錄中的多個成員進行統(tǒng)一身份權(quán)限配置。同時,還根據(jù)最佳實踐,提供了常用的權(quán)限配置模板,并形成身份權(quán)限管理基線,方便您后續(xù)對企業(yè)的持續(xù)治理。
背景信息
云SSO提供基于阿里云資源目錄RD(Resource Directory)的多賬號統(tǒng)一身份管理與訪問控制,一次性統(tǒng)一配置,即可完成面向多賬號的身份和權(quán)限配置。推薦您使用云SSO管理企業(yè)的用戶身份和權(quán)限。更多信息,請參見什么是云SSO。
身份權(quán)限初始化
登錄云治理中心控制臺。
在左側(cè)導(dǎo)航欄,選擇。
選擇藍圖,然后單擊搭建。
本文以標準藍圖為例。
在配置藍圖頁面的已添加搭建項區(qū)域,單擊云SSO。
說明如果已添加搭建項中沒有目標搭建項,您可以單擊添加搭建項,添加目標搭建項。
配置云SSO參數(shù)。
在基本信息區(qū)域,設(shè)置以下參數(shù):
地域
出于數(shù)據(jù)安全考慮,您可以根據(jù)業(yè)務(wù)數(shù)據(jù)的主要存儲地域,就近選擇合適的地域。更多信息,請參見創(chuàng)建目錄。
目錄名稱
目錄名稱必須全局唯一。您可以添加企業(yè)名稱作為前綴避免重名。
登錄超時時間
云SSO用戶使用訪問配置訪問RD賬號時,會話最長能保持多久。單位為秒,取值范圍3600~43200(1小時~12小時),默認值為3600(1小時)。
在訪問配置模板區(qū)域,查看云治理中心內(nèi)置的訪問配置模板。
根據(jù)最佳實踐,云治理中心內(nèi)置了下表所列的常用訪問配置模板,會自動在云SSO創(chuàng)建這些訪問配置。之后您可以在云SSO方便地把這些訪問配置綁定到指定賬號。
訪問配置
權(quán)限說明
Administrator
具有賬號內(nèi)全局權(quán)限,即管理所有阿里云資源的權(quán)限。
Iam
具有訪問控制管理員權(quán)限,負責企業(yè)員工在阿里云的身份權(quán)限管理。
Billing
具有查詢和管理賬單、賬戶資金管理、發(fā)票合同管理等全部財務(wù)管理權(quán)限。
AuditAdministrator
具有配置審計、操作審計和日志管理的全部權(quán)限,同時有權(quán)查看所有阿里云資源現(xiàn)狀。
LogAdministrator
具有日志的管理權(quán)限。
LogAudit
具有日志的查看權(quán)限。
NetworkAdministrator
具有網(wǎng)絡(luò)相關(guān)服務(wù)的所有權(quán)限,并有安全組的權(quán)限。
SecurityAudit
具有安全產(chǎn)品的查詢安全數(shù)據(jù)的權(quán)限,但不可管理安全產(chǎn)品的配置。
SecurityAdministrator
具有所有安全產(chǎn)品的管理權(quán)限。
關(guān)于訪問配置的更多信息,請參見訪問配置概述。
管理身份權(quán)限
身份權(quán)限初始化成功后,您可以查看或修改云SSO的配置信息。
登錄云治理中心控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在訪問配置模板頁簽,查看訪問配置詳情。
在身份提供商信息頁簽,下載身份提供商元數(shù)據(jù)文檔或修改身份提供商配置信息。