您可以使用已完成企業實名認證的阿里云賬號開通資源目錄,開通后,該阿里云賬號即為資源目錄管理賬號(Management Account,簡稱MA)。資源目錄管理賬號對資源目錄、資源夾和成員擁有完全控制權限,每個資源目錄有且只有一個管理賬號。請遵循本文所述的最佳實踐,幫助您提升資源目錄管理賬號的安全性。
使用管理賬號僅限于必需的操作
由于管理賬號具有資源目錄下所有成員的完全控制權限,建議您僅將管理賬號用于必需的操作,嚴格限制管理賬號的訪問權限,避免不需要做組織管理的人員具有該賬號的權限。
您可以為管理賬號創建一個RAM用戶并授予資源目錄的管理權限(AliyunResourceDirectoryFullAccess),使用該RAM用戶管理整個資源目錄,避免直接使用管理賬號的主賬號。
說明
AliyunResourceDirectoryFullAccess是管理資源目錄服務的最大權限,如果只是做部分操作,建議您僅授予操作所需的最小權限。鑒權列表詳情,請參見資源目錄鑒權列表。
避免在管理賬號中部署業務資源
應避免在管理賬號中部署任何業務資源。一方面因為資源目錄的管控策略對管理賬號不生效,無法約束管理賬號下業務資源的操作。另一方面,如若管理賬號下部署業務資源,那么將引入業務人員對管理賬號的訪問權限,增加管理賬號的管理風險。
使用委派管理員賬號分散管理賬號的管理職責
建議您將資源目錄的組織管理任務與業務管理任務相分離。管理賬號執行資源目錄的組織管理任務,委派管理員賬號執行可信服務的業務管理任務,分散管理賬號的管理職責。
例如:安全管理員使用云防火墻的委派管理員賬號,執行云防火墻的安全管理操作,而無需擁有管理賬號的訪問權限。
文檔內容是否對您有幫助?