搭建Landing Zone前,系统会自动检查当前登录账号是否符合管理账号的要求。您可以根据检查结果,选择合适的管理账号。

背景信息

管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员拥有完全控制权限。只有企业类型账号才能开通资源目录,每个资源目录有且只有一个管理账号。管理账号的作用如下:

  • 管理所有成员的合规策略。
  • 为所有成员集中配置云安全中心、配置审计等云服务。
  • 管理所有成员的账单和支付相关的财务信息。

检查项

当您访问LandingZone搭建页面时,系统会自动检查当前登录账号的资格,并提供下表所示的检查结果。

检查项 说明 检查结果
资源检查

检查当前登录账号下是否存在云资源。

管理账号将承担成员的治理管控工作,该账号下不建议部署其他云资源。

  • 通过:不存在云资源(资源目录除外)。
  • 未通过:存在云资源。
访问密钥(AccessKey)检查

检查当前登录账号是否存在阿里云账号(主账号)的访问密钥。

基于安全考虑,强烈不建议您为阿里云账号(主账号)创建访问密钥,其一旦泄露将存在不可控的安全风险。且作为管理账号后,管控范围扩大,其访问密钥将面临更高的安全风险。

说明 当登录账号是阿里云账号(主账号)时,才会执行该项检查。
  • 通过:不存在阿里云账号(主账号)的访问密钥。
  • 未通过:存在阿里云账号(主账号)的访问密钥。
RAM用户检查

检查当前登录账号下的RAM用户数量。

如果RAM用户较多,表示较多人员可以访问当前登录账号,作为管理账号后,可能存在权限管理不可控的风险。

  • 通过:RAM用户数量小于5个。
  • 未通过:RAM用户数量大于等于5个。
账号欠费检查

检查当前登录账号是否欠费。

如果存在欠费,将影响云服务正常开通和使用。

  • 通过:不欠费。
  • 未通过:欠费。

处理建议

您可以根据检查结果,结合下表所示的处理建议,选择合适的管理账号。

检查结果 处理建议
检查项全部通过 直接使用当前登录账号作为管理账号。
检查项部分或全部不通过

系统会自动弹出检测详情对话框,展示未通过项,您可以按以下建议处理:

  • 如果当前登录账号已开通资源目录,建议您直接修复未通过项,然后使用当前登录账号作为管理账号。
  • 如果当前账号未开通资源目录,您可以采用以下方式中的任意一种:
    • 创建新的阿里云账号作为管理账号,新创建的阿里云账号会继承当前登录账号的认证主体信息,并同时自动开通资源目录。
    • 使用企业中其他满足要求的阿里云账号作为管理账号。
说明 对于未通过项,您也可以不处理,操作仍可继续执行,但存在一定的安全风险,强烈建议您修复该未通过项。

后续步骤

搭建Landing Zone