本文为您介绍委派管理员定义、使用限制、添加委派管理员和移除委派管理员。

什么是委派管理员

资源目录的企业管理账号可以将资源目录中的某成员账号设置为可信服务的委派管理员。设置完成后,委派管理员将获得访问资源目录组织信息的授权,从而具有了对组织成员和结构的可见性。委派管理员在指定可信服务中将代表企业管理账号执行服务相关管理操作。更多信息,请参见支持委派管理员的可信服务

通过委派管理员功能,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员执行可信服务的业务管理任务,这符合安全最佳实践的建议。

使用限制

  • 只有部分可信服务支持委派管理员功能。更多信息,请参见支持的可信服务
  • 只有资源目录的企业管理账号才可以添加或移除委派管理员。
  • 企业管理账号的RAM用户或RAM角色具有以下权限时也可以添加或移除委派管理员:
    {
        "Version": "1",
        "Statement": [{
            "Action": [
                "resourcemanager:RegisterDelegatedAdministrator",
                "resourcemanager:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }]
    }

    关于如何创建自定义策略,请参见创建自定义策略

  • 委派管理员账号只能是资源目录的成员账号,不能是企业管理账号。

添加委派管理员

您可以将资源目录的成员账号设置为可信服务的委派管理员,设置成功后,该成员账号将获得资源目录组织信息的访问权限。可信服务允许添加的委派管理员数量由各可信服务定义。

  1. 登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,单击目标可信服务操作列的修改委派管理员账号
  4. 单击添加委派管理员账号
  5. 添加委派管理员账号面板,选中成员账号。
  6. 单击确定

移除委派管理员

您可以移除委托管理员,移除后,该成员账号将失去资源目录组织信息的访问权限。

注意 移除操作可能会对可信服务的正常使用产生影响,请在移除前慎重考虑。
  1. 登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,单击目标可信服务操作列的修改委派管理员账号
  4. 在委派管理员页面,单击目标成员账号操作列的移除
  5. 移除警告对话框,单击继续