可信服务是指支持与资源目录组合使用的其他阿里云服务。资源目录允许可信服务访问资源目录中的成员、资源夹等信息。

应用场景

配置审计集成资源目录后,企业管理账号在配置审计中可以查看该企业组织内所有成员账号的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性,为企业提供中心化的合规审计能力。更多信息,请参见企业版配置审计概述

企业版配置审计产品架构

启用或禁用可信服务

您可以通过各可信服务的控制台或API,启用或禁用可信服务。具体操作,请参见各可信服务的相关文档。

您可以在资源管理控制台上查看可信服务的状态,但不能在资源管理控制台上启用或禁用可信服务。

可信服务控制台

有些可信服务会在您执行某些特定操作时(例如:配置审计服务升级企业版或第一次在可信服务中查看资源目录相关的资源时),自动将可信服务状态更新为已启用。

有些可信服务会在您执行某些特定操作时(例如:关闭一个功能时),自动将可信服务状态更新为已禁用。禁用可信服务意味着该可信服务不能再访问资源目录中的账号和资源,同时,该可信服务会删除本服务内与资源目录集成相关的全部资源。

支持的可信服务

可信服务 功能介绍 是否支持委派管理员 相关文档
配置审计 配置审计集成资源目录后,企业管理账号可以在配置审计中查看所有成员账号的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。 企业版配置审计
操作审计 操作审计集成资源目录后,企业管理账号可以在操作审计中创建多账号跟踪。多账号跟踪将把资源目录内的所有成员账号的操作事件投递到对象存储OSS或日志服务SLS。 多账号跟踪
云安全中心 云安全中心集成资源目录后,能够在云安全中心通过统一的界面展示企业内所有成员账号中检测出的安全风险。 多账号安全管控
云防火墙 云防火墙集成资源目录后,能够统一管理多账号的公网IP资产,统一配置防御策略以及查看日志分析,实现集中安全管控。 统一账号管理

可信服务与服务关联角色

资源目录为每个成员账号创建了资源目录的服务关联角色(AliyunServiceRoleForResourceDirectory),该角色(AliyunServiceRoleForResourceDirectory)允许资源目录为可信服务创建服务所需角色的权限。该角色仅允许资源目录扮演。更多信息,请参见资源目录服务关联角色

可信服务仅在需要执行管理操作的成员账号中创建可信服务的服务关联角色(例如:配置审计的服务关联角色AliyunServiceRoleForConfig)。该角色定义了允许可信服务执行特定任务所需的权限。该角色仅允许对应的可信服务扮演。

服务关联角色的权限策略由对应的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。更多信息,请参见服务关联角色