在账号工厂创建账号前,您需要先配置统一的账号基线,即配置账号的身份权限、网络、安全等常用的基线项,以此提升创建账号的效率。
操作步骤
- 在基线编排页面的基线编排区域,单击目标基线项右侧的
或
图标,配置目标基线项的参数。说明 单击
图标,可以删除不需要的基线项。但系统默认的结算关系、云SSO权限绑定和防护规则三个基线项不允许删除。
基线项列表
支持配置的账号基线项
| 基线项 | 描述 | 依赖的基线项 | 相关文档 |
|---|---|---|---|
| 结算关系(系统默认基线) | 为资源目录的成员指定统一的财务结算账号,有利于企业进行统一的财务成本管理。 | 无 | 无 |
| 云SSO权限绑定(系统默认基线) | 对资源目录中的多个成员进行统一身份权限配置,降低身份权限管理风险,提升多账号的管理效率。 | 无 | 统一配置身份权限 |
| 防护规则(系统默认基线) | 统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。 | 无 | 统一配置防护规则 |
| RAM密码策略 | 设置密码规则可以提高RAM用户的账号安全。常见规则:密码长度、包含字符和密码有效期等。 | 无 | 设置RAM用户密码强度 |
| VPC | 专有网络(VPC)是专有的云上私有网络,需要配置IP地址段、交换机和ACL等。 | 无 | 什么是专有网络 |
| 安全组 | 安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。 | VPC | 安全组概述 |
| 账号联系人 | 为账号设置联系人,用于配置消息通知。阿里云不会将联系人信息对外披露或向第三方提供。 | 无 | |
| 消息通知 | 为每类消息设置接收人。对于账号、产品和故障等重要消息,建议您务必设置接收人,避免消息遗漏,从而造成损失。 | 账号联系人 | |
| 开通云产品 | 对于必须要管理员才能开通的云产品,为了避免账号内的RAM用户权限不足而导致业务不可用,您可以通过此基线项,在创建账号时自动开通选中服务。
说明 部分云产品的开通会依赖服务角色,云治理中心将会自动创建这些服务角色。更多信息,请参见开通云产品时自动创建的服务角色列表。
|
无 | |
| RAM角色 | 创建可信实体为资源目录管理账号的RAM角色,管理账号可以扮演该角色进行日常运维操作,降低操作风险。 | 无 | RAM角色概览 |
说明 系统默认基线项不允许删除。当未完成相应的云治理中心初始化任务时,这个系统默认基线项会自动跳过。
开通云产品时自动创建的服务角色
| 云产品 | 服务角色 | 权限策略 |
|---|---|---|
| 容器服务Kubernetes版 | AliyunCSDefaultRole | AliyunCSDefaultRolePolicy |
| AliyunCSKubernetesAuditRole | AliyunCSKubernetesAuditRolePolicy | |
| AliyunCSManagedArmsRole | AliyunCSManagedArmsRolePolicy | |
| AliyunCSManagedCmsRole | AliyunCSManagedCmsRolePolicy | |
| AliyunCSManagedCsiRole | AliyunCSManagedCsiRolePolicy | |
| AliyunCSManagedKubernetesRole | AliyunCSManagedKubernetesRolePolicy | |
| AliyunCSManagedLogRole | AliyunCSManagedLogRolePolicy | |
| AliyunCSManagedNetworkRole | AliyunCSManagedNetworkRolePolicy | |
| AliyunCSManagedVKRole | AliyunCSManagedVKRolePolicy | |
| AliyunCSServerlessKubernetesRole | AliyunCSServerlessKubernetesRolePolicy | |
| AliyunOOSLifecycleHook4CSRole | AliyunOOSLifecycleHook4CSRolePolicy | |
| 函数计算 | AliyunFCDefaultRole | AliyunFCDefaultRolePolicy |
后续步骤
账号基线配置完成后,您可以使用此账号基线快捷地创建账号。具体操作,请参见使用账号基线创建账号。