在賬號工廠創建賬號前,您需要先配置統一的賬號基線,即配置賬號的身份權限、網絡、安全等常用的基線項,以此提升創建賬號的效率。
操作步驟
登錄云治理中心控制臺。
在左側導航欄,選擇。
在賬號工廠頁面的賬號基線編排區域,單擊設置。
在賬號基線編排對話框,選擇要配置的賬號基線,然后單擊確認。
如果Default默認基線不能滿足您的需求,您可以單擊新建基線,創建多個自定義基線進行編排。例如:您可以為不同業務用途的賬號創建不同的基線模板,方便后續的賬號創建。本示例選擇Default默認基線。
對于不用的基線,您可以單擊目標基線右側的
圖標,刪除目標基線。系統會自動檢查是否存在賬號應用了該基線,當沒有賬號應用該基線時,才允許刪除該基線。修改基線名稱。
在基線名稱右側,單擊
圖標。在編輯基線屬性對話框,輸入新的基線名稱和描述。
單擊確定。
添加基線項。
系統自帶的結算關系、云SSO權限綁定和防護規則三個默認基線項不允許刪除。您可以基于默認基線項,添加新的基線項。
單擊添加基線項。
在添加基線項對話框,選中基線項,然后單擊添加。
如有存在依賴關系的基線項,當您選中一個基線項時,系統會自動選中依賴的基線項。例如:選中安全組時,會自動選中VPC。
配置基線項參數。
單擊目標基線項右側的
或
圖標,配置目標基線項的參數。單擊保存。
基線項列表
支持配置的賬號基線項
基線項 | 描述 | 依賴的基線項 | 相關文檔 |
結算關系(系統默認基線) | 為資源目錄的成員指定統一的財務結算賬號,有利于企業進行統一的財務成本管理。 | 無 | 無 |
云SSO權限綁定(系統默認基線) | 對資源目錄中的多個成員進行統一身份權限配置,降低身份權限管理風險,提升多賬號的管理效率。 | 無 | |
防護規則(系統默認基線) | 統一配置和開啟配置審計的防護規則,保證云治理中心創建的資源結構和基礎配置不被修改,同時保證多賬號環境的安全性。 | 無 | |
RAM密碼策略 | 設置密碼規則可以提高RAM用戶的賬號安全。常見規則:密碼長度、包含字符和密碼有效期等。 | 無 | |
VPC | 專有網絡(VPC)是專有的云上私有網絡,需要配置IP地址段、交換機和ACL等。 | 無 | |
安全組 | 安全組是一種虛擬防火墻,用于控制安全組內ECS實例的入流量和出流量,從而提高ECS實例的安全性。 | VPC | |
賬號聯系人 | 為賬號設置聯系人,用于配置消息通知。阿里云不會將聯系人信息對外披露或向第三方提供。 | 無 | |
消息通知 | 為每類消息設置接收人。對于賬號、產品和故障等重要消息,建議您務必設置接收人,避免消息遺漏,從而造成損失。 | 賬號聯系人 | |
開通云產品 | 對于必須要管理員才能開通的云產品,為了避免賬號內的RAM用戶權限不足而導致業務不可用,您可以通過此基線項,在創建賬號時自動開通選中服務。 說明 部分云產品的開通會依賴服務角色,云治理中心將會自動創建這些服務角色。更多信息,請參見開通云產品時自動創建的服務角色列表。 | 無 | |
RAM角色 | 創建可信實體為資源目錄管理賬號的RAM角色,管理賬號可以扮演該角色進行日常運維操作,降低操作風險。 | 無 | |
ECS密鑰對 | 把密鑰對推送到指定賬號,在創建實例時可指定密鑰對或者創建實例后綁定密鑰對,然后使用私鑰連接實例。 | 無 | |
ECS共享鏡像 | 共享鏡像可用于跨賬號部署ECS實例,您可以將鏡像共享給其他阿里云賬號使用。 | 無 | |
預置標簽 | 預置標簽是指預先創建并作用于所有地域的一種標簽,您可以在標簽規劃階段創建預置標簽,然后在標簽實施階段綁定具體的云資源。 | 無 | |
RAM用戶安全設置 | 配置RAM用戶的全局安全設置,包括是否允許自主管理密碼、登錄會話的過期時間、MFA相關設置等。 | 無 | |
RAM角色SSO配置 | 將當前登錄賬號的基于SAML的RAM角色SSO配置同步到成員中。通過角色SSO,企業可以在本地IdP中管理員工信息,無需進行阿里云和企業IdP間的用戶同步,企業員工將使用指定的RAM角色來登錄阿里云。 | 無 |
開通云產品時自動創建的服務角色
云服務 | 云服務標識 | 服務角色 | 權限策略 |
應用實時監控服務ARMS | arms.aliyuncs.com | AliyunServiceRoleForARMS | AliyunServiceRolePolicyForARMS |
NAT網關 | nat.aliyuncs.com | AliyunServiceRoleForNatgw | AliyunServiceRolePolicyForNatgw |
事件總線EventBridge | source-cms.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceCMS | AliyunServiceRolePolicyForEventBridgeSourceCMS |
connect-vpc.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeConnectVPC | AliyunServiceRolePolicyForEventBridgeConnectVPC | |
source-actiontrail.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceActionTrail | AliyunServiceRolePolicyForEventBridgeSourceActionTrail | |
數據管理DMS | dms.aliyuncs.com | AliyunDMSDefaultRole | AliyunDMSRolePolicy |
dms.aliyuncs.com | AliyunServiceRoleForDMS | AliyunServiceRolePolicyForDMS | |
數據傳輸服務DTS | dts.aliyuncs.com | AliyunDTSDefaultRole | AliyunDTSRolePolicy |
dms.aliyuncs.com | AliyunServiceRoleForDMS | AliyunServiceRolePolicyForDMS | |
容器服務Kubernetes版 | cs.aliyuncs.com | AliyunCSDefaultRole | AliyunCSDefaultRolePolicy |
AliyunCSKubernetesAuditRole | AliyunCSKubernetesAuditRolePolicy | ||
AliyunCSManagedArmsRole | AliyunCSManagedArmsRolePolicy | ||
AliyunCSManagedCmsRole | AliyunCSManagedCmsRolePolicy | ||
AliyunCSManagedCsiRole | AliyunCSManagedCsiRolePolicy | ||
AliyunCSManagedKubernetesRole | AliyunCSManagedKubernetesRolePolicy | ||
AliyunCSManagedLogRole | AliyunCSManagedLogRolePolicy | ||
AliyunCSManagedNetworkRole | AliyunCSManagedNetworkRolePolicy | ||
AliyunCSManagedVKRole | AliyunCSManagedVKRolePolicy | ||
AliyunCSServerlessKubernetesRole | AliyunCSServerlessKubernetesRolePolicy | ||
AliyunCSManagedNlcRole | AliyunCSManagedNlcRolePolicy | ||
AliyunCSManagedAutoScalerRole | AliyunCSManagedAutoScalerRolePolicy | ||
oos.aliyuncs.com | AliyunOOSLifecycleHook4CSRole | AliyunOOSLifecycleHook4CSRolePolicy | |
函數計算 | fc.aliyuncs.com | AliyunFCDefaultRole | AliyunFCDefaultRolePolicy |
日志服務 | log.aliyuncs.com | AliyunLogArchiveRole | AliyunLogArchiveRolePolicy |
傳統型負載均衡CLB | slb.aliyuncs.com | SLBLogDefaultRole | AliyunSLBRolePolicy |
slb.aliyuncs.com | AliyunSLBHealthDiagnoseRole | AliyunSLBHealthDiagnoseRolePolicy | |
微服務引擎MSE | mse.aliyuncs.com | AliyunServiceRoleForMSE | AliyunServiceRolePolicyForMSE |
VPN網關 | vpn.aliyuncs.com | AliyunServiceRoleForVpn | AliyunServiceRolePolicyForVpn |
后續步驟
賬號基線配置完成后,您可以使用此賬號基線快捷地創建賬號。具體操作,請參見使用賬號基線創建賬號。