资源目录的管理账号可以将资源目录中的成员设置为配置审计的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,代替管理账号管理账号组、查看账号组内成员的资源、管理账号组内的合规包和规则,并设置资源数据投递。
前提条件
您必须使用管理账号登录。
请确保您已开通资源目录。具体操作,请参见开通资源目录。
请确保您已在资源目录中创建成员或邀请成员。具体操作,请参见创建成员和邀请阿里云账号加入资源目录。
背景信息
关于委派管理员账号的更多信息,请参见什么是委派管理员账号。
应用场景
为配置审计添加委派管理员账号,可以将企业内的组织管理职能和审计管理职能从IT架构上隔离开,这对于企业云上IT的安全管理至关重要。
管理账号作为企业的中心管理者默认具有超级管理员权限,在企业IT管理的最佳实践中应使管理账号聚焦在对资源目录的组织管理上,尽量减少对其他云上配置的管理职责,避免超大权限的误操作。但是当企业在云上使用多账号时,需要有一些面向整个资源目录的操作,此时就需要管理账号能够通过委派管理员账号来分担职责。例如:管理账号指定某个成员作为配置审计的委派管理员账号,该账号被企业内审计部门所拥有和使用,审计部门通过该账号来统一审计资源的合规性和设置资源数据投递。
添加委派管理员账号
企业可以在资源目录中指定一个成员作为专职的审计账号,即配置审计的委派管理员账号。配置审计的委派管理员账号将获得管理账号对配置审计的所有操作权限,且与管理账号共同管理账号组、查看账号组内成员的资源、管理账号组内的合规包和规则,并设置资源数据投递。
更换委派管理员账号
当您为配置审计添加委派管理员账号后,不建议更换该账号。如果您必须更换委派管理员账号,请先移除原有委派管理员账号(账号A),然后添加新的委派管理员账号(账号B)。
在资源管理控制台,使用管理账号在资源目录中移除配置审计原有委派管理员账号(账号A)。
具体操作,请参见移除委派管理员账号。
说明仅移除原有委派管理员账号(账号A)对配置审计的管理权限,该账号的所有配置保留。
在资源管理控制台,添加新的委派管理员账号(账号B)。
具体操作,请参见添加委派管理员账号。
说明新的委派管理员账号(账号B)继承原有委派管理员账号(账号A)的所有配置。
在配置审计控制台,新的委派管理员账号(账号B)可以在原有委派管理员账号(账号A)的基础上继续管理账号组、查看账号组内成员的资源、管理账号组内的合规包和规则,并设置资源数据投递。
关于如何管理账号组,请参见管理账号组。
关于如何设置资源数据投递,请参见设置投递数据到日志服务SLS、设置投递数据到对象存储OSS和设置投递数据到消息服务MNS。