在上雲初期,提前規劃合理的企業身份許可權管理方案,就可以在業務規模化上雲後,降低身份許可權管理風險、提升多帳號的管理效率。雲治理中心為您提供了引導式的身份許可權管理初始化功能,可以對資來源目錄中的多個成員進行統一身份許可權配置。同時,還根據最佳實務,提供了常用的許可權配置模板,並形成身份許可權管理基準,方便您後續對企業的持續治理。
背景資訊
雲SSO提供基於阿里雲資來源目錄RD(Resource Directory)的多帳號統一身份管理與存取控制,一次性統一配置,即可完成面向多帳號的身份和許可權配置。推薦您使用雲SSO管理企業的使用者身份和許可權。更多資訊,請參見什麼是雲SSO。
身份許可權初始化
登入雲治理中心控制台。
在左側導覽列,單擊Landing Zone搭建。
選擇藍圖,然後單擊搭建。
本文以標準藍圖為例。
在配置藍圖頁面的已添加搭建項地區,單擊雲SSO。
說明如果已添加搭建項中沒有目標搭建項,您可以單擊添加搭建項,添加目標搭建項。
配置雲SSO參數。
在基本資料地區,設定以下參數:
地區
出於資料安全考慮,您可以根據業務資料的主要儲存地區,就近選擇合適的地區。更多資訊,請參見建立目錄。
目錄名稱
目錄名稱必須全域唯一。您可以添加企業名稱作為首碼避免重名。
登入逾時時間
雲SSO使用者使用訪問配置訪問RD帳號時,會話最長能保持多久。單位為秒,取值範圍3600~43200(1小時~12小時),預設值為3600(1小時)。
在訪問配置模板地區,查看雲治理中心內建的訪問配置模板。
根據最佳實務,雲治理中心內建了下表所列的常用訪問配置模板,會自動在雲SSO建立這些訪問配置。之後您可以在雲SSO方便地把這些訪問配置綁定到指定帳號。
訪問配置
許可權說明
Administrator
具有帳號內全域許可權,即管理所有阿里雲資源的許可權。
Iam
具有存取控制管理員權限,負責企業員工在阿里雲的身份許可權管理。
Billing
具有查詢和管理賬單、賬戶資金管理、發票合約管理等全部財務系統管理權限。
AuditAdministrator
具有配置審計、Action Trail和日誌管理的全部許可權,同時有權查看所有阿里雲資源現狀。
LogAdministrator
具有日誌的系統管理權限。
LogAudit
具有日誌的查看許可權。
NetworkAdministrator
具有網路相關服務的所有許可權,並有安全性群組的許可權。
SecurityAudit
具有安全產品的查詢安全資料的許可權,但不可管理安全產品的配置。
SecurityAdministrator
具有所有安全產品的系統管理權限。
關於訪問配置的更多資訊,請參見訪問配置概述。
管理身份許可權
身份許可權初始化成功後,您可以查看或修改雲SSO的配置資訊。
登入雲治理中心控制台。
在左側導覽列,選擇。
在訪問配置模板頁簽,查看訪問配置詳情。
在身份供應商資訊頁簽,下載身份供應商中繼資料文檔或修改身份供應商配置資訊。