本文为您介绍委派管理员账号的定义、使用限制及基本操作。
什么是委派管理员账号
资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。更多信息,请参见支持委派管理员账号的可信服务。
通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。
使用限制
- 只有部分可信服务支持委派管理员账号。更多信息,请参见支持的可信服务。
- 只有资源目录的管理账号和其下具有以下权限的RAM用户或RAM角色才可以添加或移除委派管理员账号。
{ "Version": "1", "Statement": [{ "Action": [ "resourcemanager:RegisterDelegatedAdministrator", "resourcemanager:DeregisterDelegatedAdministrator" ], "Resource": "*", "Effect": "Allow" }] }
关于如何创建自定义策略,请参见创建自定义权限策略。
- 委派管理员账号只能是资源目录的成员,不能是管理账号。
- 可信服务允许添加的委派管理员账号数量由各可信服务定义。
添加委派管理员账号
移除委派管理员账号
注意 移除操作可能会对可信服务的正常使用产生影响,请在移除前慎重考虑。