全部產品
Search
文件中心

Cloud Governance Center:統一配置身份許可權

更新時間:Oct 24, 2024

在上雲初期,提前規劃合理的企業身份許可權管理方案,就可以在業務規模化上雲後,降低身份許可權管理風險、提升多帳號的管理效率。雲治理中心為您提供了引導式的身份許可權管理初始化功能,可以對資來源目錄中的多個成員進行統一身份許可權配置。同時,還根據最佳實務,提供了常用的許可權配置模板,並形成身份許可權管理基準,方便您後續對企業的持續治理。

背景資訊

雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制,一次性統一配置,即可完成面向多帳號的身份和許可權配置。推薦您使用雲SSO管理企業的使用者身份和許可權。更多資訊,請參見什麼是雲SSO

身份許可權初始化

  1. 登入雲治理中心控制台

  2. 在左側導覽列,選擇Landing Zone > Landing Zone搭建

  3. 選擇藍圖,然後單擊搭建

    本文以標準藍圖為例。

  4. 配置藍圖頁面的已添加搭建項地區,單擊雲SSO

    說明

    如果已添加搭建項中沒有目標搭建項,您可以單擊添加搭建項,添加目標搭建項。

  5. 配置雲SSO參數。

    1. 基本資料地區,設定以下參數:

      • 地區

        出於資料安全考慮,您可以根據業務資料的主要儲存地區,就近選擇合適的地區。更多資訊,請參見建立目錄

      • 目錄名稱

        目錄名稱必須全域唯一。您可以添加企業名稱作為首碼避免重名。

      • 登入逾時時間

        雲SSO使用者使用訪問配置訪問RD帳號時,會話最長能保持多久。單位為秒,取值範圍3600~43200(1小時~12小時),預設值為3600(1小時)。

    2. 訪問配置模板地區,查看雲治理中心內建的訪問配置模板。

      根據最佳實務,雲治理中心內建了下表所列的常用訪問配置模板,會自動在雲SSO建立這些訪問配置。之後您可以在雲SSO方便地把這些訪問配置綁定到指定帳號。

      訪問配置

      許可權說明

      Administrator

      具有帳號內全域許可權,即管理所有阿里雲資源的許可權。

      Iam

      具有存取控制管理員權限,負責企業員工在阿里雲的身份許可權管理。

      Billing

      具有查詢和管理賬單、賬戶資金管理、發票合約管理等全部財務系統管理權限。

      AuditAdministrator

      具有配置審計、Action Trail和日誌管理的全部許可權,同時有權查看所有阿里雲資源現狀。

      LogAdministrator

      具有日誌的系統管理權限。

      LogAudit

      具有日誌的查看許可權。

      NetworkAdministrator

      具有網路相關服務的所有許可權,並有安全性群組的許可權。

      SecurityAudit

      具有安全產品的查詢安全資料的許可權,但不可管理安全產品的配置。

      SecurityAdministrator

      具有所有安全產品的系統管理權限。

      關於訪問配置的更多資訊,請參見訪問配置概述

管理身份許可權

身份許可權初始化成功後,您可以查看或修改雲SSO的配置資訊。

  1. 登入雲治理中心控制台

  2. 在左側導覽列,選擇多帳號管理 > 身份許可權

  3. 訪問配置模板頁簽,查看訪問配置詳情。

  4. 身份供應商資訊頁簽,下載身份供應商中繼資料文檔或修改身份供應商配置資訊。