釋放 AI 的強大力量

100 萬免費代幣

88% 價格優惠

NaNDayNaN:NaN:NaN
立即啟用
本文由簡體中文內容自動轉碼而成。阿里雲不保證此自動轉碼的準確性、完整性及時效性。本文内容請以簡體中文版本為準。
首頁
搜尋幫助內容

多帳號統一管理

更新時間:2024-12-26 19:42
產品
社區

通過使用阿里雲資料資訊安全中心DSC(Data Security Center)多帳號統一管理功能,企業能夠將其管理的多個阿里雲帳號中的資料資產、資料對象和審計日誌進行集中管理。便於企業有效地執行資料安全管理工作,如自動探索敏感性資料、資料分類分級、以及對潛在安全威脅的監測和警示。本文介紹如何使用多帳號統一管理功能。

基本概念

使用資料資訊安全中心對企業中多帳號與資源的集中管理前,您需要瞭解一下概念。

概念

說明

歸屬產品

概念

說明

歸屬產品

管理帳號

管理帳號(Management Account,簡稱MA)是一個經過企業實名認證的阿里雲帳號。您可以使用管理帳號開通資來源目錄,開通後,管理帳號就是資來源目錄的超級管理員,對資來源目錄、資源夾和成員擁有完全控制許可權。每個資來源目錄有且只有一個管理帳號。

為了確保管理帳號的安全,建議您:

  • 使用帳號下沒有資源的阿里雲帳號作為管理帳號去開通資來源目錄。

  • 為管理帳號建立一個RAM使用者並授予資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess),使用該RAM使用者管理整個資來源目錄。

說明

管理帳號位於資來源目錄外部,不歸屬於資來源目錄,所以不受資來源目錄的任何管控策略影響。

資源管理

Root資源夾

Root資源夾位於資來源目錄的頂層,沒有父資源夾。資源關係依據Root資源夾向下分布。

資源夾

資源夾是資來源目錄內的組織單元,通常用於指代企業的分公司、業務線或產品專案。每個資源夾下可以放置成員,並允許嵌套子資源夾,最終形成樹形的資源群組織關係。

成員

成員是通過資來源目錄建立出來的資源帳號,該資源帳號用於承載您在阿里雲上的某個專案或應用。如果您已經註冊了阿里雲帳號,您也可以通過邀請的方式將該阿里雲帳號加入到資來源目錄,即成為雲帳號類型的成員。

委派管理員

資來源目錄的管理帳號可以將資來源目錄中的成員設定為可信服務(例如,資料資訊安全中心)的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。

成員帳號

委派管理員將資源管理中成員設定為資料資訊安全中心的成員帳號。設定成功後,委派管理員可以在資料資訊安全中心服務中訪問成員帳號下的雲資源資料。

資料資訊安全中心

功能限制

目前僅資料資訊安全中心的付費版執行個體支援使用多帳號統一管理功能。

統一管理多帳號資產樣本

您可以參考以下流程構建多帳號體系,通過委派管理員使用資料資訊安全中心管理多個阿里雲帳號下資產的資料安全。

情境說明:阿里雲帳號A、B、C、D、E歸屬於同一個資來源目錄。阿里雲帳號A為資來源目錄的管理帳號,阿里雲帳號B、C、D、E為資來源目錄的成員。阿里雲帳號A將阿里雲帳號B設定為資料資訊安全中心委派管理員。阿里雲帳號B可統一管理阿里雲帳號B、C、D、E下資產,使用DSC的Sensitive Data Discovery and Protection、基準檢查、資料審計以及資料脫敏等服務。同時,可通過阿里雲帳號B的某個RAM使用者,僅管理已授權的阿里雲帳號D和E下資產使用DSC服務。

使用須知

注意事項

說明

注意事項

說明

多帳號認證

使用多帳號統一管理功能的阿里雲帳號和被管理的阿里雲帳號必須同屬於一個資來源目錄,且必須為同一個企業實名認證主體。

購買DSC執行個體

  • 僅作為委派管理員的成員帳號購買DSC執行個體。

    您需要使用管理帳號將購買DSC的成員帳號添加為可信服務資料資訊安全中心的委派管理員;再使用該委派管理員在DSC控制台將需要管理的阿里雲帳號(未購買DSC執行個體)添加為資料資訊安全中心成員帳號。該委派管理員可實現統一管理對應成員帳號下的資料資源。

    具體操作,請參見本文的步驟一:設定資料資訊安全中心委派管理員步驟二:在資料資訊安全中心新增成員帳號

  • 已購買DSC執行個體的成員帳號不支援被加入資料資訊安全中心成員帳號。已加入資料資訊安全中心成員帳號的阿里雲帳號,不支援購買或使用資料資訊安全中心。

分級管理成員帳號

委派管理員的阿里雲帳號可統一管理所有成員帳號,也支援通過建立RAM使用者進行更精細的許可權配置。委派管理員能通過RAM使用者依據資來源目錄中的資源夾RDPath,分級管理指定的成員帳號。

具體操作,請參見本文的授權RAM使用者管理指定的成員帳號

功能使用限制

  • 已加入資料資訊安全中心成員帳號下的資料資產,不支援使用流量採集(Agent)審計模式。

  • 已加入資料資訊安全中心成員帳號下的ADB-PG資產,不支援使用資料資訊安全中心提供的功能。

成員帳號費用

為成員帳號下的資產開啟資料識別和安全審計功能時,部分資料庫產品讀取資料和儲存審計日誌的費用,需要成員帳號承擔。費用詳情,請參見接入DSC的雲產品附加費用說明

前提條件

步驟一:設定資料資訊安全中心委派管理員

資來源目錄的管理帳號可以將資來源目錄中的成員設定為可信服務的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。

  1. 使用企業管理帳號登入資源管理主控台

  2. 在左側導覽列,選擇資來源目錄 > 可信服務

  3. 可信服務頁面,找到資料資訊安全中心,在操作列單擊管理

  4. 委派管理員帳號地區,單擊添加

  5. 添加委派管理員帳號面板,將已購買DSC的阿里雲帳號設定為委派管理員,單擊確定

    添加成功後,使用該委派管理員帳號訪問資料資訊安全中心的多帳號統一管理功能,即可進行資來源目錄組織範圍內的管理操作。

步驟二:在資料資訊安全中心新增成員帳號

授權RAM使用者管理指定的成員帳號

說明

如果使用委派管理員的阿里雲帳號在資料資訊安全中心新增成員帳號,可跳過此操作步驟。

  1. 使用委派管理員的阿里雲帳號登入RAM控制台,建立RAM使用者。具體操作,請參見建立RAM使用者

  2. 建立自訂權限原則,授權目標RAM使用者管理指定的成員帳號。

    1. RAM控制台的左側導覽列,選擇許可權管理 > 權限原則

    2. 權限原則頁面,單擊建立權限原則。在建立權限原則頁面,單擊指令碼編輯頁簽。

    3. 輸入權限原則內容,然後單擊繼續編輯基本資料

      複製以下策略內容,修改Condition設定權限原則:支援授權方在資料資訊安全中心控制台的多帳號統一管理頁面添加yundun-sddp:AddMultiAccountMembers)和刪除yundun-sddp:DeleteMultiAccountMembers)指定的成員帳號。

      關於權限原則文法結構的詳情,請參見權限原則文法和結構

      授權管理單個成員帳號
      授權管理資源夾下成員帳號

      設定ConditionStringNotEqualsacs:RDManageScope值為資來源目錄下目標資源夾的RDPath加目標成員的UID

      image

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/163XXXXXX1494597"
                    ]
                }
            }
        }
    ]
}

      設定ConditionStringNotLikeacs:RDManageScope值為資來源目錄下目標資源夾的RDPath/*

      image

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "yundun-sddp:AddMultiAccountMembers",
                "yundun-sddp:DeleteMultiAccountMembers"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotLike": {
                    "acs:RDManageScope": [
                        "rd-BXXXXs/r-cXXXX6/fd-BrXXXXXXM4/*"
                    ]
                }
            }
        }
    ]
}

    4. 輸入權限原則名稱備忘

    5. 單擊確定

    6. 單擊新增授權

    7. 新增授權頁面,搜尋並選中目標RAM使用者,為該RAM使用者選中剛建立的自訂權限原則,單擊確認新增授權,然後單擊關閉

委派管理員新增成員帳號

  1. 使用委派管理員的阿里雲帳號或RAM使用者登入資料資訊安全中心控制台

  2. 在左側導覽列,單擊多账号统一管理

  3. 如果您是首次使用多帳號統一管理功能,請單擊开通多账号统一管理

    該操作會將可信服務資料資訊安全中心的狀態更新為已啟用。

  4. 單擊添加成员账号

  5. 添加成员账号對話方塊,選擇需管理的成員帳號,並單擊確定

    如果使用委派管理員的RAM使用者添加的成員帳號,不在該RAM使用者的權限原則範圍內,系統會提示沒有許可權

步驟三:管理成員帳號資產

委派管理員的阿里雲帳號或RAM使用者在DSC控制台新增成員帳號後,可以管理當前帳號和成員帳號的資料資產。下文以資產授權頁面為例介紹管理成員帳號資產的操作步驟。

說明

部分頁面不支援按照UID篩選資料,例如工作台頁面,具體支援情況請以控制台頁面顯示為準。

  1. 登入資料資訊安全中心控制台

  2. 在左側導覽列,選擇资产中心

  3. 資產中心頁簽下,可以通過篩選UID,管理對應阿里雲帳號下的資產。

    image

刪除資料資訊安全中心成員帳號

不需要管理某個成員帳號的所有資產時,可以刪除該成員帳號。刪除成員帳號後,資料資訊安全中心控制台中該帳號相關的所有資料會被自動移除。

  1. 登入資料資訊安全中心控制台

  2. 在左側導覽列,選擇资产中心

  3. 取消需刪除的成員帳號下所有資產的授權。具體操作,請參見取消授權

  4. 在左側導覽列,選擇系統設定 > 多帳號統一管理

  5. 多账号统一管理頁面,單擊目標帳號操作列的刪除

    如果使用委派管理員的RAM使用者刪除不具備系統管理權限的成員帳號,系統會提示沒有許可權

  6. 在提示對話方塊中,單擊刪除

常見問題

企業內多個帳號已購買DSC,如何使用一個帳號完成統一管理?

已購買DSC執行個體的成員帳號不支援通過其他帳號統一管理。該類帳號下的資源需要被其他帳號管理時,您需要為該帳號退訂已購買的DSC執行個體,再使用管理帳號或委派管理員帳號將該類帳號添加為資料資訊安全中心的成員帳號。

退訂詳情,請參見退款說明

提示當前帳號無法開啟資料資訊安全中心怎麼辦?

您訪問資料資訊安全中心控制台提示當前帳號無法開啟資料資訊安全中心,表示當前阿里雲帳號已被資來源目錄管理帳號或委派管理員帳號加入資料資訊安全中心成員帳號,當前帳號不支援使用資料資訊安全中心功能。您可以通過以下方式使用資料資訊安全中心相應功能:

  • 方式一:使用資來源目錄的管理帳號或委派管理員帳號登入,通過多帳號統一管理功能來實現當前帳號下的資源使用資料資訊安全中心能力。

  • 方式二:聯絡資來源目錄的管理帳號或委派管理員帳號,在資料資訊安全中心控制台多帳號統一管理頁面,刪除當前帳號。然後,使用當前帳號購買並使用DSC。

相關文檔

上一篇:無下一篇:Data Security Center
  • 本頁導讀 (1, M)
  • 基本概念
  • 功能限制
  • 統一管理多帳號資產樣本
  • 使用須知
  • 前提條件
  • 步驟一:設定資料資訊安全中心委派管理員
  • 步驟二:在資料資訊安全中心新增成員帳號
  • 授權RAM使用者管理指定的成員帳號
  • 委派管理員新增成員帳號
  • 步驟三:管理成員帳號資產
  • 刪除資料資訊安全中心成員帳號
  • 常見問題
  • 企業內多個帳號已購買DSC,如何使用一個帳號完成統一管理?
  • 提示當前帳號無法開啟資料資訊安全中心怎麼辦?
  • 相關文檔
文檔反饋
phone 聯絡我們

立即和Alibaba Cloud在線服務人員進行交談,獲取您想了解的產品信息以及最新折扣。

alicare alicarealicarealicare