堡垒机支持多账号资产统一管理。如果您有多个阿里云账号,且需要一台堡垒机集中管理多个账号下的资产,可结合阿里云资源目录RD(Resource Directory)实现多账号资产的统一运维管控。
资源目录账号类型介绍
资源目录中包含以下账号类型。关于资源目录的详细介绍,请参见资源目录概述。
管理账号:使用管理账号开通资源目录,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。
委派管理员账号:管理账号可以将资源目录中的成员设置为某个可信服务的委派管理员账号。委派管理员账号将获得管理账号的授权,在对应可信服务中访问资源目录组织和成员信息,实施组织范围的管理。
成员账号:您可以在资源目录中新创建成员账号,也可以通过邀请的方式将已有的阿里云账号加入到资源目录。
多账号资产导入说明
管理账号或委派管理员账号下的堡垒机中可以导入成员账号下的资产(例如ECS、RDS实例等),成员账号下的堡垒机不能导入管理账号或委派管理员账号下的资产。
各个账号下的堡垒机实例相互不可见。
由于跨账号运维可能会存在堡垒机到资产内网不通的情况,您可以通过云企业网CEN、VPN、公网IP运维等网络连接技术或堡垒机的网络域运维功能来连接堡垒机与目标资产所在的网络,保障堡垒机到各个账号资产的连通性。
网络域配置操作,请参见网络域。
前提条件
已开通资源目录。具体操作,请参见开通资源目录。
已在资源目录加入成员账号。
如果需要创建新的成员账号,请参见创建成员。
如果需要将已有账号添加到资源目录,请参见邀请阿里云账号加入资源目录。
如果您使用RAM用户进行管理,需要授权管理云盾堡垒机(AliyunYundunBastionHostFullAccess)和管理资源目录服务(AliyunResourceDirectoryFullAccess)的权限。如何为RAM用户授权,请参见为RAM用户授权。
操作步骤
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,选择。
在多账号统一管理面板,单击添加成员账号。
在添加成员账号对话框,选择目标成员账号,单击确定。