为了更好地保护企业信息安全,实现企业级的账号管理,EDAS提供了完善的主子账号管理体系。EDAS自身拥有一套严谨的主子账号权限控制体系,同时还接入了阿里云访问控制RAM(Resource Access Management)的账号体系,现账号管理体系已逐渐从EDAS内置账号体系迁移至RAM。

主账号

EDAS 中,主账号拥有其下所有资源和 EDAS 的所有操作的权限。购买 EDAS 的主账号也是付费账号。

在EDAS控制台的系统管理 > 主账号菜单内,可以查看当前主账号的应用实例数限额、实际应用数和产品系列。

说明 EDAS原有付费主账号可以绑定其他未开通EDAS的主账号,如需解绑原有付费账号绑定的其他主账号,请提交工单

子账号

EDAS 系统支持RAM的账号体系,主账号可以通过创建 RAM 子账号,避免与其他用户共享账号密钥,按需为子账号分配最小权限,实现各司其职的高效企业管理。

在EDAS控制台的系统管理 > 子账号菜单内,可以查看和完成以下操作:
  • 主账号登录控制台可以查看主账号对应的所有子账号列表。
  • 可以在页面右上角单击同步子账号完成RAM子账号的同步。
  • 配置过EDAS内置权限并且未迁移至RAM授权的子账号可以管理角色、授权应用和资源组。
  • 可以迁移账号权限至RAM,详情请参见切换EDAS内置授权为RAM授权

使用场景

下文以几个典型场景为例来进一步说明EDAS账号体系的运用。

场景一

某公司用账号A购买了EDAS,那么A就是一个付费账号,同时也是一个主账号。该公司还有其他两个部门都需要使用EDAS,于是可以在账号A下新建两个部门的子账号B、C并授予EDAS的管理权限。那么B、C账号不需要付费购买EDAS就可以正常访问EDAS了。如下图所示。

edas账号体系使用场景1

场景二

假设账号B、C需要使用EDAS的完整功能,如创建应用、运行应用等,则必须自行购买ECS等资源,而不能用账号A进行购买,如下图所示:

edas账号体系使用场景2

场景三

准备好资源后,三个账号对应的部门分别创建了各自的子账号,用于权限及资源的具体分配和管理。A账号给子账号a授予了所有的ECS资源和所有权限;B账号创建了应用管理员和运维管理员的两个角色,并将这两个角色分别授予给了子账号b1,b2;C账号创建了一个查看应用的角色,授权给了c。

edas账号体系场景3