本文介绍了管理资源目录过程中可能会遇到的一些常见问题。

开通资源目录的方式有几种?如何选择?

开通资源目录时,系统会自动检查当前登录账号的企业实名认证、安全信息(手机号码或电子邮箱)及资源保有情况,然后判断其是否具备开通资源目录的条件,并根据判断结果推荐以下两种方式中的一种去开通资源目录。

  • 使用当前登录账号开通资源目录

    该方式适用于当前登录账号已完成企业实名认证、已设置安全信息且账号下没有资源的情况。

  • 创建新的管理账号开通资源目录

    该方式适用于当前登录账号已完成企业实名认证,但未设置安全信息或账号下存在资源的情况。

    该方式会创建一个新的阿里云账号作为资源目录的管理账号,新账号会继承当前登录账号的企业实名认证信息。新账号需要通过密码找回功能设置控制台登录密码。同时,当前登录账号会成为该资源目录的成员。

为什么无法开通资源目录?

可能有如下两个原因:

  • 当前账号没有进行企业实名认证。关于企业实名认证,请参见企业实名认证
  • 当前账号已经在资源目录内,无法重复开通。

什么样的账号不适合作为资源目录的管理账号?

  • 账号下有待处理的邀请。

    建议:先处理邀请后再开通资源目录。

  • 账号下已经有云资源部署了业务或应用。

    建议:由于管理账号将承载整个资源目录的架构管理、用户权限管控等高权限操作,为了确保管理账号的安全,建议您创建一个新的阿里云账号作为管理账号,避免将已有用途的阿里云账号作为管理账号。

关闭资源目录会产生什么影响?

  • 您创建的组织关系和管控策略等数据将会被清理。
  • 已启用的可信服务中的相关数据将会被清理。例如:如果您在操作审计中创建了多账号跟踪,当关闭资源目录后,操作审计中的多账号跟踪数据将会被清理。
  • 可信服务中集成了资源目录的功能可能会被禁用。例如:云SSO的多账号权限管理功能,只有资源目录已启用时才能正常运行。

为什么资源目录的很多功能仅支持RAM用户使用?

阿里云安全最佳实践推荐使用最小权限用户进行操作。账号的管理员用户(根用户)默认具备Administrator权限,具有极高的安全风险,不符合安全实践要求。

资源目录中建议禁用所有账号的根用户,启用可配置适当权限的RAM用户执行所有操作。

资源目录的关键操作仅支持具有访问权限的RAM用户操作,主要是因为:

  • 符合最小权限原则。
  • 规避账号的管理员用户权限滥用导致的安全风险。
  • 规避企业多个用户共享阿里云账号密钥带来的安全风险。
  • 为企业员工分配对应的RAM用户,系统会记录RAM用户的操作行为,方便审计回溯。