可信服務是指支援與資來源目錄組合使用的其他阿里雲服務。資來源目錄允許可信服務訪問資來源目錄中的成員、資源夾等資訊。您可以使用管理帳號或可信服務的委派管理員帳號,在可信服務中基於組織進行業務管理,從而簡化企業對雲端服務的統一管理。例如:配置審計整合資來源目錄後,管理帳號可以在可信服務配置審計中查看所有成員的資源清單、資源配置歷史和資源合規狀態,並監控資源配置合規性。
可信服務使用流程
您可以通過控制台或API使用可信服務。下面以控制台為例說明使用流程。
在資源管理主控台,使用管理帳號,開通資來源目錄。
具體操作,請參見開通資來源目錄。
在資源管理主控台,使用管理帳號,搭建企業的組織圖。您可以建立新的成員,也可以邀請已有的阿里雲帳號加入組織。
具體操作,請參見建立資源夾、建立成員和邀請阿里雲帳號加入資來源目錄。
(可選)在資源管理主控台,使用管理帳號,將成員設定為可信服務的委派管理員帳號。
如果不設定可信服務的委派管理帳號,則需使用管理帳號在可信服務中進行業務管理。
關於如何設定委派管理員帳號,請參見添加委派管理員帳號。
說明該步驟僅適用於支援委派管理員的可信服務。
在可信服務控制台,使用管理帳號或委派管理員帳號,啟用多帳號管理功能。然後基於資來源目錄的組織圖選擇需要統一管理的成員,並對已選中的成員進行業務管理。
不同可信服務的操作不一樣。具體操作,請參見支援的可信服務的相關文檔列。
支援的可信服務
可信服務 | 可信服務識別 | 功能介紹 | 是否支援委派管理員帳號 | 相關文檔 |
配置審計 | config.aliyuncs.com | 配置審計整合資來源目錄後,管理帳號可以在配置審計中查看所有成員的資源清單、資源配置歷史和資源合規狀態,並監控資源配置合規性。 | 是 | |
Action Trail | actiontrail.aliyuncs.com | Action Trail整合資來源目錄後,管理帳號可以在Action Trail中建立多帳號跟蹤。多帳號跟蹤將資來源目錄內的所有成員的操作事件投遞到Object Storage Service或Log ServiceSLS。 | 是 | |
Security Center | sas.aliyuncs.com | Security Center整合資來源目錄後,能夠在Security Center通過統一的介面展示企業內所有成員中檢測出的安全風險。 | 是 | |
Cloud Firewall | cloudfw.aliyuncs.com | Cloud Firewall整合資來源目錄後,能夠統一管理多帳號的公網IP資產,統一配置防禦策略以及查看日誌分析,實現集中安全管控。 | 是 | |
全站加速 | multiaccount.dcdn.aliyuncs.com | 全站加速整合資來源目錄後,能夠提供多帳號管理功能,實現跨帳號跨產品的網域名稱資源統一管理。 | 否 | 無 |
企業CloudMonitor | cloudmonitor.aliyuncs.com | 企業CloudMonitor與資來源目錄整合,輕鬆實現企業跨阿里雲帳號的資源統一監控。 | 是 | |
雲SSO | cloudsso.aliyuncs.com | 管理帳號可以在雲SSO中統一管理企業中使用阿里雲的使用者,一次性配置企業身份管理系統與阿里雲的單點登入,並統一配置使用者對資來源目錄中成員的存取權限。 | 是 | |
日誌審計服務 | audit.log.aliyuncs.com | 日誌審計服務支援多帳號環境下自動化、中心化採集雲產品日誌,並進行日誌審計分析。 | 是 | |
Resource Orchestration Service服務 | ros.aliyuncs.com | 管理帳號可以在資來源目錄的成員中一鍵部署系統所依賴的雲資源,滿足企業多帳號環境下的資源集中管理需求。 | 是 | |
資源共用 | resourcesharing.aliyuncs.com | 管理帳號在啟用資來源目錄組織共用後,支援將雲資源共用給指定成員、指定資源夾或整個資來源目錄。新加入資源夾或資來源目錄的成員將自動擷取對共用資源的存取權限,從資源夾或資來源目錄移除的成員將自動取消對共用資源的存取權限。 | 否 | |
雲治理中心 | governance.aliyuncs.com | 管理帳號可以在雲治理中心中統一查看企業各成員的資源分布和趨勢變化,為企業各成員統一配置合規審計防護規則和統一投遞審計日誌。 | 否 | |
標籤 | tag.aliyuncs.com | 管理帳號可以啟用標籤策略的多帳號模式,規範管理資來源目錄中各成員的標籤操作。 | 是 | |
服務類別目錄 | servicecatalog.aliyuncs.com | 將服務類別目錄的產品組合共用給資來源目錄中的多個成員,且產品組合配置變更後,也可以即時同步給被共用的多個成員,從而大幅提升管理效率。 | 是 | |
配額中心 | quotas.aliyuncs.com | 通過建立配額範本,當資來源目錄有新增成員時可自動為新增成員提交配額申請。 | 否 | |
資源中心 | resourcecenter.aliyuncs.com | 資源中心為您提供跨帳號、跨產品、跨地區的資源統一視圖及資源搜尋能力。 | 是 | |
訊息中心 | messagecenter.aliyuncs.com | 支援統一管理企業多個帳號的訊息通知連絡人。 | 否 | |
Prometheus監控服務 | prometheus.aliyuncs.com | 支援企業內多帳號Prometheus執行個體的統一監控。 | 是 | |
碳足跡 | energy.aliyuncs.com | 支援管理帳號在統一介面中,查看企業內所有雲帳號下雲資源產生的溫室氣體排放資料。 | 是 | |
Web Application Firewall3.0 | waf.aliyuncs.com | 支援集中訪問成員帳號下的雲產品資源,從而實現雲產品資源接入WAF並配置統一安全性原則。 | 是 | |
DDoS原生防護 | ddosbgp.aliyuncs.com | 支援多帳號共用DDoS防護執行個體。 | 是 | |
Bastionhost | bastionhost.aliyuncs.com | 支援通過一台Bastionhost集中管理多個雲帳號下的資產,實現統一營運管控。 | 是 | |
資料資訊安全中心 | sddp.aliyuncs.com | 管理多個雲帳號下資料資產,彙總查看和管理分類分級結果、資料資產風險、威脅事件等,提升安全營運效率。 | 是 |
啟用或禁用可信服務
您可以通過各可信服務的控制台或API,啟用或禁用可信服務。具體操作,請參見各可信服務的相關文檔。
您可以在資源管理主控台的左側導覽列,選擇,查看可信服務的狀態。但您不能在資源管理主控台上啟用或禁用可信服務。
有些可信服務會在您執行某些特定操作時(例如:在Action Trail中建立多帳號跟蹤或第一次在可信服務中查看資來源目錄相關的資源時),自動將可信服務狀態更新為已啟用。
有些可信服務會在您執行某些特定操作時(例如:關閉一個功能時),自動將可信服務狀態更新為已禁用。禁用可信服務意味著該可信服務不能再訪問資來源目錄中的帳號和資源,同時,該可信服務會刪除本服務內與資來源目錄整合相關的全部資源。
可信服務與服務關聯角色
資來源目錄為每個成員建立了資來源目錄的服務關聯角色(AliyunServiceRoleForResourceDirectory),該角色允許資來源目錄為可信服務建立服務所需角色的許可權。該角色僅允許資來源目錄扮演。更多資訊,請參見資來源目錄中的RAM角色。
可信服務僅在需要執行管理操作的成員中建立可信服務的服務關聯角色(例如:配置審計的服務關聯角色AliyunServiceRoleForConfig)。該角色定義了允許可信服務執行特定任務所需的許可權。該角色僅允許對應的可信服務扮演。
服務關聯角色的權限原則由對應的雲端服務定義和使用,您不能修改或刪除權限原則,也不能為服務關聯角色添加或移除許可權。更多資訊,請參見服務關聯角色。