云SSO分级授权管理

前提条件

• 确保已开通资源目录，并搭建了企业的多账号组织结构。

  具体操作，请参见开通资源目录、创建资源夹、创建成员、邀请阿里云账号加入资源目录。

• 确保已开通云SSO，并创建了目录。

  具体操作，开通云SSO、创建目录。

• 请使用云SSO管理员完成本文所述的授权操作。

  云SSO管理员是指开通云SSO的管理账号和其下具有管理云SSO权限（AliyunCloudSSOFullAccess）的RAM用户。

操作步骤

本文将提供一个示例，创建一个云SSO用户（Dept-1-Admin）作为资源夹（Dept-1）的权限管理员，仅能对资源夹（Dept-1）中的RD账号进行授权操作。

1. 创建云SSO用户（Dept-1-Admin），并为其设置登录密码。

   具体操作，请参见创建用户。

   

2. 创建访问配置（Dept-1-Access）。

   具体操作，请参见创建访问配置。

   

   仅配置内置策略，如下提供两个内置策略示例，您可以根据情况选择使用。

   示例一

   云SSO用户（Dept-1-Admin）不能管理（创建、修改、删除）云SSO用户，只能为云SSO用户授予指定RD账号的权限。

   策略内容包含获取RD账号、云SSO用户和云SSO访问配置信息的所有读权限，以及授权给指定RDPath的权限。

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "resourcemanager:GetResourceDirectory",
           "resourcemanager:ListParents",
           "resourcemanager:ListChildrenForParent",
           "resourcemanager:ListAncestors",
           "resourcemanager:ListAccountRecordsForParent",
           "resourcemanager:GetFolder",
           "resourcemanager:GetAccount",
           "resourcemanager:ListAuthorizedFolders",
           "resourcemanager:ListAccounts",
           "resourcemanager:ListAccountsForParent",
           "resourcemanager:ListFoldersForParent"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "ram:ListPolicies",
           "ram:GetPolicyVersion",
           "ram:ListPolicyVersions",
           "ram:GetPolicy"
         ],
         "Resource": "acs:ram:*:system:policy/*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "cloudsso:Get*",
           "cloudsso:List*",
           "cloudsso:CheckRDFeaturePrerequisite"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "cloudsso:CreateAccessAssignment",
           "cloudsso:DeleteAccessAssignments",
           "cloudsso:DeprovisionAccessConfiguration",
           "cloudsso:ProvisionAccessConfiguration",
           "cloudsso:CreateUserProvisioning",
           "cloudsso:DeleteUserProvisioning",
           "cloudsso:GetUserProvisioningRdAccountStatistics",
           "cloudsso:GetUserProvisioning",
           "cloudsso:UpdateUserProvisioning",
           "cloudsso:GetUserProvisioningStatistics",
           "cloudsso:PreCheckForCreateUserProvisioning",
           "cloudsso:DeleteUserProvisioningEvent",
           "cloudsso:GetUserProvisioningEvent",
           "cloudsso:RetryUserProvisioningEvent",
           "cloudsso:GetTask",
           "cloudsso:GetTaskStatus"
         ],
         "Resource": "*",
         "Condition": {
           "StringLike": {
             "acs:RDManageScope": [
               "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*"
             ]
           }
         }
       }
     ]
   }

   示例二

   云SSO用户（Dept-1-Admin）既可以管理（创建、修改、删除）云SSO用户，又可以为云SSO用户授予指定RD账号的权限。

   策略内容包含获取RD账号、云SSO用户和云SSO访问配置信息的所有读权限、管理云SSO用户的写权限，以及授权给指定RDPath的权限，不包括管理云SSO用户组的权限。

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "resourcemanager:GetResourceDirectory",
           "resourcemanager:ListParents",
           "resourcemanager:ListChildrenForParent",
           "resourcemanager:ListAncestors",
           "resourcemanager:ListAccountRecordsForParent",
           "resourcemanager:GetFolder",
           "resourcemanager:GetAccount",
           "resourcemanager:ListAuthorizedFolders",
           "resourcemanager:ListAccounts",
           "resourcemanager:ListAccountsForParent",
           "resourcemanager:ListFoldersForParent"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "ram:ListPolicies",
           "ram:GetPolicyVersion",
           "ram:ListPolicyVersions",
           "ram:GetPolicy"
         ],
         "Resource": "acs:ram:*:system:policy/*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "cloudsso:Get*",
           "cloudsso:List*",
           "cloudsso:CheckRDFeaturePrerequisite",
           "cloudsso:CreateUser",
           "cloudsso:UpdateUser",
           "cloudsso:UpdateUserStatus",
           "cloudsso:DeleteUser",
           "cloudsso:ResetUserPassword",
           "cloudsso:DeleteMFADeviceForUser",
           "cloudsso:UpdateUserMFAAuthenticationSettings"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "cloudsso:CreateAccessAssignment",
           "cloudsso:DeleteAccessAssignments",
           "cloudsso:DeprovisionAccessConfiguration",
           "cloudsso:ProvisionAccessConfiguration",
           "cloudsso:CreateUserProvisioning",
           "cloudsso:DeleteUserProvisioning",
           "cloudsso:GetUserProvisioningRdAccountStatistics",
           "cloudsso:GetUserProvisioning",
           "cloudsso:UpdateUserProvisioning",
           "cloudsso:GetUserProvisioningStatistics",
           "cloudsso:PreCheckForCreateUserProvisioning",
           "cloudsso:DeleteUserProvisioningEvent",
           "cloudsso:GetUserProvisioningEvent",
           "cloudsso:RetryUserProvisioningEvent",
           "cloudsso:GetTask",
           "cloudsso:GetTaskStatus"
         ],
         "Resource": "*",
         "Condition": {
           "StringLike": {
             "acs:RDManageScope": [
               "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*"
             ]
           }
         }
       }
     ]
   }

   重要

   通过内置策略Condition中的acs:RDManageScope指定可以操作的RD资源夹或RD账号的RDPath：

   • rd-******/r-*****/fd-*****/ *： 指定资源夹内所有RD账号。

   • rd-******/r-*****/fd-*****/123******：指定RD账号。

   上述内置策略示例中的rd-3G****/r-Wm****/fd-Ca2****Q3Y为资源夹Dept-1的RDPath，请在实际使用时替换为目标资源夹RDPath。关于如何查看RDPath，请参见查看资源夹基本信息、查看成员详情。

3. 在RD管理账号上授权。

   具体操作，请参见在RD账号上授权。

   

   

   

结果验证

1. 云SSO用户（Dept-1-Admin）登录云SSO用户门户。

   具体操作，请参见登录云SSO用户门户并访问阿里云资源。

   

2. 尝试为资源夹（Dept-1）中的RD账号授权。

   如果为资源夹（Dept-1）中的RD账号授权成功，为其他资源夹下的RD账号授权失败，则符合预期。

   说明

   您能看到整个资源目录结构树，但是只能对有权限的资源夹下的RD账号授权成功。