本文介紹了管理成員過程中可能會遇到的常見問題。
成員基本操作
管理帳號、成員、資源帳號、雲帳號、根使用者、RAM使用者之間的區別是什嗎?
管理帳號
管理帳號(Management Account,簡稱MA)是一個經過企業認證的阿里雲帳號。您可以使用管理帳號開通資來源目錄,開通後,管理帳號就是資來源目錄的超級管理員,對資來源目錄、資源夾和成員擁有完全控制許可權。每個資來源目錄有且只有一個管理帳號。
成員
成員是通過資來源目錄建立出來的資源帳號,該資源帳號用於承載您在阿里雲上的某個專案或應用。 如果您已經註冊了阿里雲帳號,您也可以通過邀請的方式將該阿里雲帳號加入到資來源目錄,即成為雲帳號類型的成員。具體如下:
資源帳號
在資來源目錄中建立的成員預設為資源帳號。資源帳號禁用了root(root是阿里雲帳號的Administrator,所以也稱為根帳號或主帳號)登入許可權,具有更高的安全性。關於建立資源帳號的具體操作,請參見建立成員。
雲帳號
通過邀請方式加入到資來源目錄的阿里雲帳號稱為雲帳號。雲帳號具有root登入許可權。關於邀請阿里雲帳號的具體操作,請參見邀請阿里雲帳號加入資來源目錄。
根使用者
阿里雲帳號的主帳號身份稱為根使用者(root使用者或根帳號),可以使用主帳號的使用者名稱和密碼直接登入阿里雲,對該阿里雲帳號下的資源具有完全系統管理權限。
為了確保帳號安全,避免與其他使用者共用根使用者的登入密碼或存取金鑰,建議您為管理帳號或成員建立一個RAM使用者並授予一定的許可權,使用該RAM使用者執行相關的操作。
RAM使用者
RAM使用者是存取控制(RAM)的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。您可以在阿里雲主帳號下建立不同的RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。
成員如何登入阿里雲控制台?
登入方式 | 描述 | 適用對象 | 相關文檔 |
通過管理帳號的RAM使用者扮演成員RAM角色的方式登入阿里雲控制台 | 資來源目錄RD(Resource Directory)會自動為所有成員建立RAM角色(ResourceDirectoryAccountAccessRole),並將該角色的可信實體設定為資來源目錄的管理帳號,這使得管理帳號擁有對所有成員進行角色扮演並訪問的許可權。管理帳號可以在自己的帳號下建立一個RAM使用者,並為RAM使用者賦予管理員權限。就可以通過該RAM使用者扮演成員RAM角色(ResourceDirectoryAccountAccessRole)的方式登入到成員的控制台。 |
| |
通過成員的RAM使用者登入阿里雲控制台 | 管理帳號的RAM使用者登入到成員控制台後,可以為成員建立RAM使用者並授權,然後就可以通過成員的RAM使用者直接登入控制台。 | ||
通過成員的根使用者登入阿里雲控制台(不推薦) | 對於雲帳號類型的成員,您可以使用阿里雲帳號(根使用者)的使用者名稱和登入密碼直接登入控制台。 | 從外部邀請加入資來源目錄的阿里雲帳號,即雲帳號類型的成員。 | |
通過雲SSO使用者登入阿里雲控制台 | 雲SSO提供基於阿里雲資來源目錄的多帳號統一身份管理與存取控制。當您開通了雲SSO並在RD帳號上完成了授權,雲SSO使用者就可以登入雲SSO使用者門戶,按照訪問配置中的許可權訪問RD帳號中對應的資源。 | 雲SSO使用者 |
如何通過成員的根使用者登入控制台?
為安全起見,強烈建議您通過RAM使用者或RAM角色登入控制台,不建議通過根使用者登入。
成員的根使用者是指成員的阿里雲帳號(主帳號)身份。根據成員的不同類型,分為以下兩種情況:
雲帳號類型的成員:該類成員一般是通過邀請的方式加入到資來源目錄,本身就是阿里雲帳號。您可以直接使用阿里雲帳號的使用者名稱和密碼登入控制台。具體操作,請參見通過根使用者登入阿里雲控制台。
資源帳號類型的成員:該類成員是在資來源目錄中直接建立的成員,本身沒有根使用者,您需要通過RAM使用者或RAM角色登入控制台。如果某些特殊情境,您必須通過根使用者登入,則您可以將成員的類型由資源帳號切換為雲帳號。具體操作如下:
為資源帳號綁定安全手機號碼或修改資源帳號的安全郵箱。
具體操作,請參見管理資源帳號的安全手機號碼或修改成員的帳號名稱(安全郵箱)。
將資源帳號切換為雲帳號。
具體操作,請參見資源帳號切換為雲帳號。
為雲帳號找回登入密碼。
您可以通過密碼找回功能找回登入密碼。
通過雲帳號的使用者名稱和密碼登入控制台。
具體操作,請參見通過根使用者登入阿里雲控制台。
啟用根使用者後將會增加帳號安全風險,請謹慎保管根使用者的帳號和密碼,以防泄露。另外,為確保安全,建議您使用完畢後,及時將雲帳號切換回資源帳號。具體操作,請參見雲帳號切換為資源帳號。
成員如何查看自己所在的資來源目錄資訊?
成員登入資源管理主控台。
在左側導覽列,選擇。
查看成員所在的資來源目錄資訊和成員基本資料。
在成員資訊頁面的所在資來源目錄資訊地區,查看成員所在的資來源目錄的基本資料。
您可以查看資來源目錄的ID、資來源目錄的建立時間、資來源目錄的管理帳號和資來源目錄的企業名稱。
在成員資訊頁面的成員資訊地區,查看當前成員的基本資料。
您可以查看成員所在的目錄位置、成員的RDPath、成員的顯示名稱和成員加入資來源目錄的時間。
刪除成員
如何刪除成員?
具體操作,請參見刪除資源帳號類型的成員。
為什麼沒有許可權刪除成員?
刪除成員前,必須使用管理帳號根使用者或管理帳號下具有資來源目錄系統管理權限(AliyunResourceDirectoryFullAccess)的RAM使用者、RAM角色開啟成員刪除許可。具體操作,請參見開啟成員刪除許可。
只能使用管理帳號下具有資來源目錄系統管理權限(AliyunResourceDirectoryFullAccess)的RAM使用者、RAM角色刪除成員,不能使用管理帳號的根使用者刪除成員。具體操作,請參見刪除資源帳號類型的成員。
只能刪除資源帳號類型的成員,不能刪除雲帳號類型的成員。
允許刪除哪種類型的成員?
僅允許刪除在資來源目錄中建立的成員,即資源帳號類型的成員。
對於通過邀請方式加入資來源目錄的阿里雲帳號,即雲帳號類型的成員,您只能將其從資來源目錄中移除,但不能在資來源目錄中刪除。該類帳號請遵照阿里雲帳號刪除流程進行刪除。
成員刪除後能否找回?
成員刪除後,其下的所有資源及資料都會被刪除,您無法再次登入和使用它。成員一旦刪除,將無法找回,請您謹慎操作。
什麼是成員刪除的靜默期?
成員刪除靜默期是一個時間段,指在成員刪除時不能立即執行刪除任務,而需要等待的特殊時間段。成員在刪除時,如果還存在有未全部出賬賬單,成員不可以立即刪除,需要等待賬單全部出賬完成後才可以刪除,這個時間段稱為靜默期。具體如下:
靜默期時間不是固定的,取決於您保有的資源類型情況,最短3小時,最長45天。
在靜默期內,不能新購資源,不能操作相關業務資料和資源執行個體,不能取消成員刪除任務。
靜默期結束後,自動執行刪除操作,不需要重新提交刪除申請。
要刪除的成員中已經沒有資源了,為什麼仍然要靜默期後才能刪除?
雖然成員中的資源已經釋放,但有的資源未產生賬單,需要等待賬單全部出賬,即靜默期後才能刪除。
靜默期後是否需要重新提交刪除申請?
不需要。靜默期結束後,會自動執行刪除操作。
如何查看靜默期的到期時間?
登入資來源目錄控制台,單擊目標成員操作列的查看刪除進展,查看靜默期的到期時間。
調用GetAccountDeletionStatus - 查詢成員刪除狀態,返回參數中的
DeletionTime就是靜默期的到期時間。
靜默期後提示刪除失敗,怎麼辦?
靜默期後如果刪除失敗,將會通過電子郵件的方式通知您。您需要重新發起刪除申請。
如何修改成員刪除的訊息通知郵箱?
成員刪除的訊息預設發送到資來源目錄管理帳號的電子郵箱。如果您想修改訊息接收人郵箱,您可以登入訊息中心,在基本接收管理頁面,修改訊息類型為產品已釋放通知的訊息接收人。
邀請成員
邀請成員有幾種失效情況?
有兩種失效情況:
被邀請方超出14天未確認。
邀請方取消邀請。
被邀請方確認是否有時間限制?
有。邀請成員從發起到結束必須限定在14天內。邀請記錄到期後,系統自動將狀態變更為已逾時。
無效的邀請記錄是否可以刪除?
無效的邀請記錄在30天后會自動刪除,無需手動操作。
為什麼被邀請方無法接受邀請?
只有被邀請方符合以下全部條件,才能接受邀請,並加入到資來源目錄。任何一個條件不滿足,都無法接受邀請。
請確保被邀請方未加入任何資來源目錄,一個阿里雲帳號只能加入一個資來源目錄。
請確保被邀請方已完成企業實名認證,未實名認證的帳號或個人實名認證帳號都不能加入資來源目錄。
因為未實名認證帳號或個人實名認證帳號的行為具有隨意性強、法律保障性低和風險大的特點,該類帳號一旦加入資來源目錄,可能會導致企業在阿里雲上的資產被用於個人,對企業會產生潛在的資產流失及安全管理風險。所以資來源目錄要求發起邀請和接受邀請的雙方都必須是企業類型的帳號,這樣才能在企業法律主體範圍內有效管控行為責任和安全風險。
當被邀請方遇到無法接受邀請的情況時,請嘗試以下方法:
對於未實名認證帳號,請完成企業實名認證。具體操作,請參見企業認證。
對於個人實名認證帳號,請升級為企業實名認證。