本文介绍了管理成员过程中可能会遇到的常见问题。
成员基本操作
管理账号、成员、资源账号、云账号、根用户、RAM用户之间的区别是什么?
管理账号
管理账号(Management Account,简称MA)是一个经过企业认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。
成员
成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。具体如下:
资源账号
在资源目录中创建的成员默认为资源账号。资源账号禁用了root(root是阿里云账号的Administrator,所以也称为根账号或主账号)登录权限,具有更高的安全性。关于创建资源账号的具体操作,请参见创建成员。
云账号
通过邀请方式加入到资源目录的阿里云账号称为云账号。云账号具有root登录权限。关于邀请阿里云账号的具体操作,请参见邀请阿里云账号加入资源目录。
根用户
阿里云账号的主账号身份称为根用户(root用户或根账号),可以使用主账号的用户名和密码直接登录阿里云,对该阿里云账号下的资源具有完全管理权限。
为了确保账号安全,避免与其他用户共享根用户的登录密码或访问密钥,建议您为管理账号或成员创建一个RAM用户并授予一定的权限,使用该RAM用户执行相关的操作。
RAM用户
RAM用户是访问控制(RAM)的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。您可以在阿里云主账号下创建不同的RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。
成员如何登录阿里云控制台?
登录方式 | 描述 | 适用对象 | 相关文档 |
通过管理账号的RAM用户扮演成员RAM角色的方式登录阿里云控制台 | 资源目录RD(Resource Directory)会自动为所有成员创建RAM角色(ResourceDirectoryAccountAccessRole),并将该角色的可信实体设置为资源目录的管理账号,这使得管理账号拥有对所有成员进行角色扮演并访问的权限。管理账号可以在自己的账号下创建一个RAM用户,并为RAM用户赋予管理员权限。就可以通过该RAM用户扮演成员RAM角色(ResourceDirectoryAccountAccessRole)的方式登录到成员的控制台。 |
| |
通过成员的RAM用户登录阿里云控制台 | 管理账号的RAM用户登录到成员控制台后,可以为成员创建RAM用户并授权,然后就可以通过成员的RAM用户直接登录控制台。 | ||
通过成员的根用户登录阿里云控制台(不推荐) | 对于云账号类型的成员,您可以使用阿里云账号(根用户)的用户名和登录密码直接登录控制台。 | 从外部邀请加入资源目录的阿里云账号,即云账号类型的成员。 | |
通过云SSO用户登录阿里云控制台 | 云SSO提供基于阿里云资源目录的多账号统一身份管理与访问控制。当您开通了云SSO并在RD账号上完成了授权,云SSO用户就可以登录云SSO用户门户,按照访问配置中的权限访问RD账号中对应的资源。 | 云SSO用户 |
如何通过成员的根用户登录控制台?
为安全起见,强烈建议您通过RAM用户或RAM角色登录控制台,不建议通过根用户登录。
成员的根用户是指成员的阿里云账号(主账号)身份。根据成员的不同类型,分为以下两种情况:
云账号类型的成员:该类成员一般是通过邀请的方式加入到资源目录,本身就是阿里云账号。您可以直接使用阿里云账号的用户名和密码登录控制台。具体操作,请参见通过根用户登录阿里云控制台。
资源账号类型的成员:该类成员是在资源目录中直接创建的成员,本身没有根用户,您需要通过RAM用户或RAM角色登录控制台。如果某些特殊场景,您必须通过根用户登录,则您可以将成员的类型由资源账号切换为云账号。具体操作如下:
为资源账号绑定安全手机号码或修改资源账号的安全邮箱。
具体操作,请参见管理资源账号的安全手机号码或修改成员的账号名称(安全邮箱)。
将资源账号切换为云账号。
具体操作,请参见资源账号切换为云账号。
为云账号找回登录密码。
您可以通过密码找回功能找回登录密码。
通过云账号的用户名和密码登录控制台。
具体操作,请参见通过根用户登录阿里云控制台。
启用根用户后将会增加账号安全风险,请谨慎保管根用户的账号和密码,以防泄露。另外,为确保安全,建议您使用完毕后,及时将云账号切换回资源账号。具体操作,请参见云账号切换为资源账号。
成员如何查看自己所在的资源目录信息?
成员登录资源管理控制台。
在左侧导航栏,选择
。查看成员所在的资源目录信息和成员基本信息。
在成员信息页面的所在资源目录信息区域,查看成员所在的资源目录的基本信息。
您可以查看资源目录的ID、资源目录的创建时间、资源目录的管理账号和资源目录的企业名称。
在成员信息页面的成员信息区域,查看当前成员的基本信息。
您可以查看成员所在的目录位置、成员的RDPath、成员的显示名和成员加入资源目录的时间。
删除成员
如何删除成员?
具体操作,请参见删除资源账号类型的成员。
为什么没有权限删除成员?
删除成员前,必须使用管理账号根用户或管理账号下具有资源目录管理权限(AliyunResourceDirectoryFullAccess)的RAM用户、RAM角色开启成员删除许可。具体操作,请参见开启成员删除许可。
只能使用管理账号下具有资源目录管理权限(AliyunResourceDirectoryFullAccess)的RAM用户、RAM角色删除成员,不能使用管理账号的根用户删除成员。具体操作,请参见删除资源账号类型的成员。
只能删除资源账号类型的成员,不能删除云账号类型的成员。
允许删除哪种类型的成员?
仅允许删除在资源目录中创建的成员,即资源账号类型的成员。
对于通过邀请方式加入资源目录的阿里云账号,即云账号类型的成员,您只能将其从资源目录中移除,但不能在资源目录中删除。该类账号请遵照阿里云账号删除流程进行删除。
成员删除后能否找回?
成员删除后,其下的所有资源及数据都会被删除,您无法再次登录和使用它。成员一旦删除,将无法找回,请您谨慎操作。
什么是成员删除的静默期?
成员删除静默期是一个时间段,指在成员删除时不能立即执行删除任务,而需要等待的特殊时间段。成员在删除时,如果还存在有未全部出账账单,成员不可以立即删除,需要等待账单全部出账完成后才可以删除,这个时间段称为静默期。具体如下:
静默期时间不是固定的,取决于您保有的资源类型情况,最短3小时,最长45天。
在静默期内,不能新购资源,不能操作相关业务数据和资源实例,不能取消成员删除任务。
静默期结束后,自动执行删除操作,不需要重新提交删除申请。
要删除的成员中已经没有资源了,为什么仍然要静默期后才能删除?
虽然成员中的资源已经释放,但有的资源未生成账单,需要等待账单全部出账,即静默期后才能删除。
静默期后是否需要重新提交删除申请?
不需要。静默期结束后,会自动执行删除操作。
如何查看静默期的到期时间?
登录资源目录控制台,单击目标成员操作列的查看删除进展,查看静默期的到期时间。
调用GetAccountDeletionStatus - 查询成员删除状态,返回参数中的
DeletionTime
就是静默期的到期时间。
静默期后提示删除失败,怎么办?
静默期后如果删除失败,将会通过电子邮件的方式通知您。您需要重新发起删除申请。
如何修改成员删除的消息通知邮箱?
成员删除的消息默认发送到资源目录管理账号的电子邮箱。如果您想修改消息接收人邮箱,您可以登录消息中心,在基本接收管理页面,修改消息类型为产品已释放通知的消息接收人。
邀请成员
邀请成员有几种失效情况?
有两种失效情况:
被邀请方超出14天未确认。
邀请方取消邀请。
被邀请方确认是否有时间限制?
有。邀请成员从发起到结束必须限定在14天内。邀请记录过期后,系统自动将状态变更为已超时。
无效的邀请记录是否可以删除?
无效的邀请记录在30天后会自动删除,无需手动操作。
为什么被邀请方无法接受邀请?
只有被邀请方符合以下全部条件,才能接受邀请,并加入到资源目录。任何一个条件不满足,都无法接受邀请。
请确保被邀请方未加入任何资源目录,一个阿里云账号只能加入一个资源目录。
请确保被邀请方已完成企业实名认证,未实名认证的账号或个人实名认证账号都不能加入资源目录。
因为未实名认证账号或个人实名认证账号的行为具有随意性强、法律保障性低和风险大的特点,该类账号一旦加入资源目录,可能会导致企业在阿里云上的资产被用于个人,对企业会产生潜在的资产流失及安全管理风险。所以资源目录要求发起邀请和接受邀请的双方都必须是企业类型的账号,这样才能在企业法律主体范围内有效管控行为责任和安全风险。
当被邀请方遇到无法接受邀请的情况时,请尝试以下方法:
对于未实名认证账号,请完成企业实名认证。具体操作,请参见企业认证。
对于个人实名认证账号,请升级为企业实名认证。