本文為您介紹資來源目錄管理帳號的根帳號(主帳號)無法登入成員、刪除成員、切換成員類型、為成員綁定安全手機的問題原因和解決方案。
問題現象
資來源目錄管理帳號的根帳號(主帳號)無法登入成員、刪除成員、切換成員類型、為成員綁定安全手機,控制台對應操作按鈕置灰,如下圖所示:
問題原因
阿里雲安全最佳實務推薦使用最小許可權使用者進行操作。帳號的根帳號(主帳號)預設具備Administrator許可權,具有極高的安全風險,不符合安全實踐要求。資來源目錄中建議禁用所有帳號的根帳號(主帳號),啟用可配置適當許可權的RAM使用者執行所有操作。
資來源目錄的關鍵操作僅支援具有存取權限的RAM使用者操作,主要是因為:
符合最小許可權原則。
規避帳號的根帳號(主帳號)許可權濫用導致的安全風險。
為企業員工分配對應的RAM使用者,系統會記錄RAM使用者的操作行為,方便審計回溯。
解決方案
您可以為資來源目錄管理帳號建立一個RAM使用者,授予對應的許可權,然後使用該RAM使用者執行操作。
使用管理帳號的根帳號(主帳號)建立RAM使用者。
使用管理帳號的根帳號(主帳號)登入RAM控制台,選擇,單擊建立使用者,建立RAM使用者。為了帳號安全,建議您根據實際用途為RAM使用者只選擇控制台訪問或OpenAPI調用訪問中的一種,將人員使用者和應用程式使用者分離,避免混用。具體操作,請參見建立RAM使用者。
使用管理帳號的根帳號(主帳號)為RAM使用者授權。
在使用者頁面,找到目標RAM使用者,單擊操作列的添加許可權,為RAM使用者授予對應的權限原則。具體操作,請參見為RAM使用者授權。
不同情境下需要授與權限策略各不相同,具體如下表所示。
情境
權限原則
無法登入成員
資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess)或操作所需的最小許可權。
RAM角色扮演許可權(AliyunSTSAssumeRoleAccess)。
無法刪除資源帳號類型的成員
資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess)或操作所需的最小許可權。
說明未開啟成員刪除許可,刪除按鈕也會被置灰。所以,您還需要開啟成員刪除許可。具體操作,請參見開啟成員刪除許可。
無法切換成員類型
資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess)或操作所需的最小許可權。
無法為成員綁定安全手機
資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess)或操作所需的最小許可權。
說明AliyunResourceDirectoryFullAccess是管理資來源目錄服務的最大許可權,如果只是做部分操作,建議您僅授予操作所需的最小許可權。鑒權列表詳情,請參見資來源目錄鑒權列表。
使用RAM使用者登入阿里雲控制台。
使用RAM使用者登入阿里雲控制台,輸入RAM使用者名稱和密碼,然後訪問資源管理主控台,按需進行操作。
