本文为您介绍使用云SSO实现多账号场景下的身份权限管理。
RAM提供单个阿里云账号内的身份管理(包括RAM用户、用户组和角色)、权限管理和单点登录配置。
当您的企业仅拥有少量阿里云账号时,使用RAM就可以完全满足企业中身份和权限管理的需求。但当您的企业拥有大量阿里云账号时,如果继续使用RAM,则需要在每个阿里云账号中单独管理身份、单独进行SSO配置和单独配置权限,这会给管理工作带来极大的挑战。此时,推荐您使用云SSO。
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制。您可以在云SSO中进行一次性统一配置,即可完成面向多个阿里云账号的身份管理、单点登录和权限配置。为了实现这一目标,云SSO提供了独立于RAM的身份目录,但其权限管理复用了RAM中的系统策略和自定义策略语法。此外,云SSO用户对RD账号的访问,本质上是云SSO用户扮演每个RD账号中的RAM角色进行的再一次单点登录。更多信息,请参见什么是云SSO。
使用云SSO不会影响使用RAM,反之亦然。两个云服务可以同时使用,您可以根据需要选用适合的云服务。