本文為您介紹委派管理員帳號的定義、使用限制及基本操作。
什麼是委派管理員帳號
資來源目錄的管理帳號可以將資來源目錄中的成員設定為可信服務的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。更多資訊,請參見支援委派管理員帳號的可信服務。
通過委派管理員帳號,可以將組織管理工作與業務管理工作相分離,管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作,這符合安全最佳實務的建議。
使用限制
- 只有部分可信服務支援委派管理員帳號。更多資訊,請參見支援的可信服務。
- 只有資來源目錄的管理帳號和其下具有以下許可權的RAM使用者或RAM角色才可以添加或移除委派管理員帳號。
{ "Version": "1", "Statement": [{ "Action": [ "resourcemanager:RegisterDelegatedAdministrator", "resourcemanager:DeregisterDelegatedAdministrator" ], "Resource": "*", "Effect": "Allow" }] }
關於如何建立自訂策略,請參見建立自訂權限原則。
- 委派管理員帳號只能是資來源目錄的成員,不能是管理帳號。
- 可信服務允許添加的委派管理員帳號數量由各可信服務定義。
添加委派管理員帳號
- 使用管理帳號登入資源管理主控台。
- 在左側導覽列,選擇 。
- 在可信服務頁面,單擊目標可信服務操作列的管理。
- 在委派管理員帳號地區,單擊添加。
- 在添加委派管理員帳號面板,選中成員。
- 單擊確定。添加成功後,使用該委派管理員帳號訪問對應可信服務的多帳號管理模組,即可進行資來源目錄組織範圍內的管理操作。
移除委派管理員帳號
警告 移除操作可能會對可信服務的正常使用產生影響,請在移除前謹慎考慮。
- 使用管理帳號登入資源管理主控台。
- 在左側導覽列,選擇 。
- 在可信服務頁面,單擊目標可信服務操作列的管理。
- 在委派管理員帳號地區,單擊目標帳號操作列的移除。
- 在移除警告對話方塊,單擊繼續。移除成功後,該帳號將不能在可信服務中訪問資來源目錄組織和成員資訊。