本文为您介绍委派管理员账号的定义、使用限制及基本操作。

什么是委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。更多信息,请参见支持委派管理员账号的可信服务

通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。

使用限制

  • 只有部分可信服务支持委派管理员账号。更多信息,请参见支持的可信服务
  • 只有资源目录的管理账号和其下具有以下权限的RAM用户或RAM角色才可以添加或移除委派管理员账号。
    {
        "Version": "1",
        "Statement": [{
            "Action": [
                "resourcemanager:RegisterDelegatedAdministrator",
                "resourcemanager:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }]
    }

    关于如何创建自定义策略,请参见创建自定义权限策略

  • 委派管理员账号只能是资源目录的成员,不能是管理账号。
  • 可信服务允许添加的委派管理员账号数量由各可信服务定义。

添加委派管理员账号

  1. 使用管理账号登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,单击目标可信服务操作列的管理
  4. 委派管理员账号区域,单击添加
  5. 添加委派管理员账号面板,选中成员。
  6. 单击确定
    添加成功后,使用该委派管理员账号访问对应可信服务的多账号管理模块,即可进行资源目录组织范围内的管理操作。

移除委派管理员账号

警告 移除操作可能会对可信服务的正常使用产生影响,请在移除前慎重考虑。
  1. 使用管理账号登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,单击目标可信服务操作列的管理
  4. 委派管理员账号区域,单击目标账号操作列的移除
  5. 移除警告对话框,单击继续
    移除成功后,该账号将不能在可信服务中访问资源目录组织和成员信息。