可信服務是指支持與資源目錄組合使用的其他阿里云服務。資源目錄允許可信服務訪問資源目錄中的成員、資源夾等信息。您可以使用管理賬號或可信服務的委派管理員賬號,在可信服務中基于組織進行業務管理,從而簡化企業對云服務的統一管理。例如:配置審計集成資源目錄后,管理賬號可以在可信服務配置審計中查看所有成員的資源列表、資源配置歷史和資源合規狀態,并監控資源配置合規性。
可信服務使用流程
您可以通過控制臺或API使用可信服務。下面以控制臺為例說明使用流程。
在資源管理控制臺,使用管理賬號,開通資源目錄。
具體操作,請參見開通資源目錄。
在資源管理控制臺,使用管理賬號,搭建企業的組織結構。您可以創建新的成員,也可以邀請已有的阿里云賬號加入組織。
具體操作,請參見創建資源夾、創建成員和邀請阿里云賬號加入資源目錄。
(可選)在資源管理控制臺,使用管理賬號,將成員設置為可信服務的委派管理員賬號。
如果不設置可信服務的委派管理賬號,則需使用管理賬號在可信服務中進行業務管理。
關于如何設置委派管理員賬號,請參見添加委派管理員賬號。
說明該步驟僅適用于支持委派管理員的可信服務。
在可信服務控制臺,使用管理賬號或委派管理員賬號,啟用多賬號管理功能。然后基于資源目錄的組織結構選擇需要統一管理的成員,并對已選中的成員進行業務管理。
不同可信服務的操作不一樣。具體操作,請參見支持的可信服務的相關文檔列。
支持的可信服務
可信服務 | 可信服務標識 | 功能介紹 | 是否支持委派管理員賬號 | 相關文檔 |
配置審計 | config.aliyuncs.com | 配置審計集成資源目錄后,管理賬號可以在配置審計中查看所有成員的資源列表、資源配置歷史和資源合規狀態,并監控資源配置合規性。 | 是 | |
操作審計 | actiontrail.aliyuncs.com | 操作審計集成資源目錄后,管理賬號可以在操作審計中創建多賬號跟蹤。多賬號跟蹤將資源目錄內的所有成員的操作事件投遞到對象存儲OSS或日志服務SLS。 | 是 | |
云安全中心 | sas.aliyuncs.com | 云安全中心集成資源目錄后,能夠在云安全中心通過統一的界面展示企業內所有成員中檢測出的安全風險。 | 是 | |
云防火墻 | cloudfw.aliyuncs.com | 云防火墻集成資源目錄后,能夠統一管理多賬號的公網IP資產,統一配置防御策略以及查看日志分析,實現集中安全管控。 | 是 | |
全站加速 | multiaccount.dcdn.aliyuncs.com | 全站加速集成資源目錄后,能夠提供多賬號管理功能,實現跨賬號跨產品的域名資源統一管理。 | 否 | |
企業云監控 | cloudmonitor.aliyuncs.com | 企業云監控與資源目錄集成,輕松實現企業跨阿里云賬號的資源統一監控。 | 是 | |
云SSO | cloudsso.aliyuncs.com | 管理賬號可以在云SSO中統一管理企業中使用阿里云的用戶,一次性配置企業身份管理系統與阿里云的單點登錄,并統一配置用戶對資源目錄中成員的訪問權限。 | 是 | |
日志審計服務 | audit.log.aliyuncs.com | 日志審計服務支持多賬號環境下自動化、中心化采集云產品日志,并進行日志審計分析。 | 是 | |
資源編排服務 | ros.aliyuncs.com | 管理賬號可以在資源目錄的成員中一鍵部署系統所依賴的云資源,滿足企業多賬號環境下的資源集中管理需求。 | 是 | |
資源共享 | resourcesharing.aliyuncs.com | 管理賬號在啟用資源目錄組織共享后,支持將云資源共享給指定成員、指定資源夾或整個資源目錄。新加入資源夾或資源目錄的成員將自動獲取對共享資源的訪問權限,從資源夾或資源目錄移除的成員將自動取消對共享資源的訪問權限。 | 否 | |
云治理中心 | governance.aliyuncs.com | 管理賬號可以在云治理中心中統一查看企業各成員的資源分布和趨勢變化,為企業各成員統一配置合規審計防護規則和統一投遞審計日志。 | 否 | |
標簽 | tag.aliyuncs.com | 管理賬號可以啟用標簽策略的多賬號模式,規范管理資源目錄中各成員的標簽操作。 | 是 | |
服務目錄 | servicecatalog.aliyuncs.com | 將服務目錄的產品組合共享給資源目錄中的多個成員,且產品組合配置變更后,也可以實時同步給被共享的多個成員,從而大幅提升管理效率。 | 是 | |
配額中心 | quotas.aliyuncs.com | 通過創建配額模板,當資源目錄有新增成員時可自動為新增成員提交配額申請。 | 否 | |
辦公安全平臺 | csas.aliyuncs.com | 集中管理多賬號下的云資產,實現訪問權限統一管控。 | 是 | |
云安全中心-威脅分析 | cloudsiem.sas.aliyuncs.com | 威脅分析為您提供云上多賬號、多產品告警的統一管理,支持一鍵快速風險處置及自動化響應編排。 | 是 | |
資源中心 | resourcecenter.aliyuncs.com | 資源中心為您提供跨賬號、跨產品、跨地域的資源統一視圖及資源搜索能力。 | 是 | |
消息中心 | messagecenter.aliyuncs.com | 支持統一管理企業多個賬號的消息通知聯系人。 | 否 | |
Prometheus監控服務 | prometheus.aliyuncs.com | 支持企業內多賬號Prometheus實例的統一監控。 | 是 | |
碳足跡 | energy.aliyuncs.com | 支持管理賬號在統一界面中,查看企業內所有云賬號下云資源產生的溫室氣體排放數據。 | 是 | |
智能顧問 | advisor.aliyuncs.com | 支持對企業多賬號的云上架構巡檢與優化治理。 | 是 | |
Web應用防火墻3.0 | waf.aliyuncs.com | 支持集中訪問成員賬號下的云產品資源,從而實現云產品資源接入WAF并配置統一安全策略。 | 是 | |
DDoS原生防護 | ddosbgp.aliyuncs.com | 支持多賬號共享DDoS防護實例。 | 是 | |
堡壘機 | bastionhost.aliyuncs.com | 支持通過一臺堡壘機集中管理多個云賬號下的資產,實現統一運維管控。 | 是 | |
數據安全中心 | sddp.aliyuncs.com | 管理多個云賬號下數據資產,聚合查看和管理分類分級結果、數據資產風險、威脅事件等,提升安全運營效率。 | 是 |
啟用或禁用可信服務
您可以通過各可信服務的控制臺或API,啟用或禁用可信服務。具體操作,請參見各可信服務的相關文檔。
您可以在資源管理控制臺的左側導航欄,選擇,查看可信服務的狀態。但您不能在資源管理控制臺上啟用或禁用可信服務。
有些可信服務會在您執行某些特定操作時(例如:在操作審計中創建多賬號跟蹤或第一次在可信服務中查看資源目錄相關的資源時),自動將可信服務狀態更新為已啟用。
有些可信服務會在您執行某些特定操作時(例如:關閉一個功能時),自動將可信服務狀態更新為已禁用。禁用可信服務意味著該可信服務不能再訪問資源目錄中的賬號和資源,同時,該可信服務會刪除本服務內與資源目錄集成相關的全部資源。
可信服務與服務關聯角色
資源目錄為每個成員創建了資源目錄的服務關聯角色(AliyunServiceRoleForResourceDirectory),該角色允許資源目錄為可信服務創建服務所需角色的權限。該角色僅允許資源目錄扮演。更多信息,請參見資源目錄中的RAM角色。
可信服務僅在需要執行管理操作的成員中創建可信服務的服務關聯角色(例如:配置審計的服務關聯角色AliyunServiceRoleForConfig)。該角色定義了允許可信服務執行特定任務所需的權限。該角色僅允許對應的可信服務扮演。
服務關聯角色的權限策略由對應的云服務定義和使用,您不能修改或刪除權限策略,也不能為服務關聯角色添加或移除權限。更多信息,請參見服務關聯角色。