基本概念

使用數據安全中心對企業中多賬號與資源的集中管理前，您需要了解一下概念。

功能限制

目前僅數據安全中心的付費版實例支持使用多賬號統一管理功能。

統一管理多賬號資產示例

您可以參考以下流程構建多賬號體系，通過委派管理員使用數據安全中心管理多個阿里云賬號下資產的數據安全。

場景說明：阿里云賬號A、B、C、D、E歸屬于同一個資源目錄。阿里云賬號A為資源目錄的管理賬號，阿里云賬號B、C、D、E為資源目錄的成員。阿里云賬號A將阿里云賬號B設置為數據安全中心委派管理員。阿里云賬號B可統一管理阿里云賬號B、C、D、E下資產，使用DSC的敏感數據保護、基線檢查、數據審計以及數據脫敏等服務。同時，可通過阿里云賬號B的某個RAM用戶，僅管理已授權的阿里云賬號D和E下資產使用DSC服務。

使用須知

前提條件

• 已開通資源目錄。具體操作，請參見開通資源目錄。

• 已在資源目錄中創建新的成員賬號或邀請已有的阿里云賬號。具體操作，請參見創建成員、邀請阿里云賬號加入資源目錄。

  如果需要使用RAM用戶按照資源夾分級管理成員賬號，需要先創建資源夾，然后在資源夾內創建或邀請對應阿里云賬號。具體操作，請參見創建資源夾。

• 作為委派管理員的阿里云賬號已購買數據安全中心付費版實例。具體操作，請參見購買數據安全中心。

步驟一：設置數據安全中心委派管理員

資源目錄的管理賬號可以將資源目錄中的成員設置為可信服務的委派管理員賬號。設置成功后，委派管理員賬號將獲得管理賬號的授權，可以在對應可信服務中訪問資源目錄組織和成員信息，并在該組織范圍內進行業務管理。

1. 使用企業管理賬號登錄資源管理控制臺。

2. 在左側導航欄，選擇資源目錄 > 可信服務。

3. 在可信服務頁面，找到數據安全中心，在操作列單擊管理。

4. 在委派管理員賬號區域，單擊添加。

5. 在添加委派管理員賬號面板，將已購買DSC的阿里云賬號設置為委派管理員，單擊確定。

   添加成功后，使用該委派管理員賬號訪問數據安全中心的多賬號統一管理功能，即可進行資源目錄組織范圍內的管理操作。

步驟二：在數據安全中心添加成員賬號

授權RAM用戶管理指定的成員賬號

1. 使用委派管理員的阿里云賬號登錄RAM控制臺，創建RAM用戶。具體操作，請參見創建RAM用戶。

2. 創建自定義權限策略，授權目標RAM用戶管理指定的成員賬號。

   1. 在RAM控制臺的左側導航欄，選擇權限管理 > 權限策略。

   2. 在權限策略頁面，單擊創建權限策略。在創建權限策略頁面，單擊腳本編輯頁簽。

   3. 輸入權限策略內容，然后單擊繼續編輯基本信息。

      復制以下策略內容，修改Condition設置權限策略：支持授權方在數據安全中心控制臺的多賬號統一管理頁面添加（yundun-sddp:AddMultiAccountMembers）和刪除（yundun-sddp:DeleteMultiAccountMembers）指定的成員賬號。

      關于權限策略語法結構的詳情，請參見權限策略語法和結構。

      授權管理單個成員賬號

      設置Condition中StringNotEquals的acs:RDManageScope值為資源目錄下目標資源夾的RDPath加目標成員的UID。

      

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "yundun-sddp:AddMultiAccountMembers",
                      "yundun-sddp:DeleteMultiAccountMembers"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "StringNotEquals": {
                          "acs:RDManageScope": [
                              "rd-BXXXXs/r-cXXXX6/163XXXXXX1494597"
                          ]
                      }
                  }
              }
          ]
      }

      授權管理資源夾下成員賬號

      設置Condition中StringNotLike的acs:RDManageScope值為資源目錄下目標資源夾的RDPath加/*。

      

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "yundun-sddp:AddMultiAccountMembers",
                      "yundun-sddp:DeleteMultiAccountMembers"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "StringNotLike": {
                          "acs:RDManageScope": [
                              "rd-BXXXXs/r-cXXXX6/fd-BrXXXXXXM4/*"
                          ]
                      }
                  }
              }
          ]
      }

   4. 輸入權限策略名稱和備注。

   5. 單擊確定。

   6. 單擊新增授權。

   7. 在新增授權頁面，搜索并選中目標RAM用戶，為該RAM用戶選中剛創建的自定義權限策略，單擊確認新增授權，然后單擊關閉。

委派管理員添加成員賬號

1. 使用委派管理員的阿里云賬號或RAM用戶登錄數據安全中心控制臺。

2. 在左側導航欄，單擊多賬號統一管理。

3. 如果您是首次使用多賬號統一管理功能，請單擊開通多賬號統一管理。

   該操作會將可信服務數據安全中心的狀態更新為已啟用。

4. 單擊添加成員賬號。

5. 在添加成員賬號對話框，選擇需管理的成員賬號，并單擊確定。

   如果使用委派管理員的RAM用戶添加的成員賬號，不在該RAM用戶的權限策略范圍內，系統會提示沒有權限。

步驟三：管理成員賬號資產

委派管理員的阿里云賬號或RAM用戶在DSC控制臺添加成員賬號后，可以管理當前賬號和成員賬號的數據資產。下文以資產授權頁面為例介紹管理成員賬號資產的操作步驟。

1. 登錄數據安全中心控制臺。

2. 在左側導航欄，選擇資產中心。

3. 在授權管理頁簽下，可以通過篩選UID，管理對應阿里云賬號下的資產。

   

刪除數據安全中心成員賬號

不需要管理某個成員賬號的所有資產時，可以刪除該成員賬號。刪除成員賬號后，數據安全中心控制臺中該賬號相關的所有數據會被自動移除。

1. 登錄數據安全中心控制臺。

2. 在左側導航欄，選擇資產中心。

3. 取消需刪除的成員賬號下所有資產的授權。具體操作，請參見取消授權。

4. 在左側導航欄，選擇系統設置 > 多賬號統一管理。

5. 在多賬號統一管理頁面，單擊目標賬號操作列的刪除。

   如果使用委派管理員的RAM用戶刪除不具備管理權限的成員賬號，系統會提示沒有權限。

6. 在提示對話框中，單擊刪除。

常見問題

企業內多個賬號已購買DSC，如何使用一個賬號完成統一管理？

已購買DSC實例的成員賬號不支持通過其他賬號統一管理。該類賬號下的資源需要被其他賬號管理時，您需要為該賬號退訂已購買的DSC實例，再使用管理賬號或委派管理員賬號將該類賬號添加為數據安全中心的成員賬號。

退訂詳情，請參見退款說明。

提示當前賬號無法開啟數據安全中心怎么辦？

您訪問數據安全中心控制臺提示當前賬號無法開啟數據安全中心，表示當前阿里云賬號已被資源目錄管理賬號或委派管理員賬號加入數據安全中心成員賬號，當前賬號不支持使用數據安全中心功能。您可以通過以下方式使用數據安全中心相應功能：

• 方式一：使用資源目錄的管理賬號或委派管理員賬號登錄，通過多賬號統一管理功能來實現當前賬號下的資源使用數據安全中心能力。

• 方式二：聯系資源目錄的管理賬號或委派管理員賬號，在數據安全中心控制臺多賬號統一管理頁面，刪除當前賬號。然后，使用當前賬號購買并使用DSC。

相關文檔

• 管理委派管理員賬號

• 資源目錄分級管理解決方案