本文為您介紹委派管理員賬號的定義、使用限制及基本操作。
什么是委派管理員賬號
資源目錄的管理賬號可以將資源目錄中的成員設(shè)置為可信服務(wù)的委派管理員賬號。設(shè)置成功后,委派管理員賬號將獲得管理賬號的授權(quán),可以在對應(yīng)可信服務(wù)中訪問資源目錄組織和成員信息,并在該組織范圍內(nèi)進(jìn)行業(yè)務(wù)管理。更多信息,請參見支持委派管理員賬號的可信服務(wù)。
通過委派管理員賬號,可以將組織管理任務(wù)與業(yè)務(wù)管理任務(wù)相分離,管理賬號執(zhí)行資源目錄的組織管理任務(wù),委派管理員賬號執(zhí)行可信服務(wù)的業(yè)務(wù)管理任務(wù),這符合安全最佳實(shí)踐的建議。
使用限制
- 只有部分可信服務(wù)支持委派管理員賬號。更多信息,請參見支持的可信服務(wù)。
- 只有資源目錄的管理賬號和其下具有以下權(quán)限的RAM用戶或RAM角色才可以添加或移除委派管理員賬號。
{ "Version": "1", "Statement": [{ "Action": [ "resourcemanager:RegisterDelegatedAdministrator", "resourcemanager:DeregisterDelegatedAdministrator" ], "Resource": "*", "Effect": "Allow" }] }關(guān)于如何創(chuàng)建自定義策略,請參見創(chuàng)建自定義權(quán)限策略。
- 委派管理員賬號只能是資源目錄的成員,不能是管理賬號。
- 可信服務(wù)允許添加的委派管理員賬號數(shù)量由各可信服務(wù)定義。
添加委派管理員賬號
- 使用管理賬號登錄資源管理控制臺。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在可信服務(wù)頁面,單擊目標(biāo)可信服務(wù)操作列的管理。
- 在委派管理員賬號區(qū)域,單擊添加。
- 在添加委派管理員賬號面板,選中成員。
- 單擊確定。添加成功后,使用該委派管理員賬號訪問對應(yīng)可信服務(wù)的多賬號管理模塊,即可進(jìn)行資源目錄組織范圍內(nèi)的管理操作。
移除委派管理員賬號
警告 移除操作可能會對可信服務(wù)的正常使用產(chǎn)生影響,請?jiān)谝瞥吧髦乜紤]。
- 使用管理賬號登錄資源管理控制臺。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在可信服務(wù)頁面,單擊目標(biāo)可信服務(wù)操作列的管理。
- 在委派管理員賬號區(qū)域,單擊目標(biāo)賬號操作列的移除。
- 在移除警告對話框,單擊繼續(xù)。移除成功后,該賬號將不能在可信服務(wù)中訪問資源目錄組織和成員信息。