全部产品
云市场

账号体系介绍

更新时间:2018-12-05 11:36:58

为了更好地保护企业信息安全,实现企业级的账号管理,EDAS 提供了完善的主子账号管理体系。主账号可以分配权限和资源给多个子账号,实现按需为用户分配最小权限,从而降低企业信息安全风险,减轻主账号的工作负担。

接入阿里云访问控制(Resource Access Management,RAM)的账号体系之前,EDAS 本身拥有一套严谨的主子账号体系,实现了人权分离。2016年7月份升级后,EDAS 也同时支持了 RAM 主子账号体系。

EDAS 的账号体系如下图:

account1

付费账号是指用于购买 EDAS 产品的账号,该账号同时也是一个主账号。针对同一个企业内通常有多个部门同时使用 EDAS 的场景,EDAS 支持用户用付费账号购买 EDAS,然后将此付费账号绑定多个主账号,即一人付费多人使用,实现了客户利益最大化。

注意:一个付费账号最多只能绑定 5 个主账号。

付费账号和主账号的关系:

  • 所有的付费账号都是主账号,但不是所有的主账号都是付费账号。

  • 所有的主账号都是一个独立的个体,拥有该主账号购买的所有资源,且对 EDAS 拥有所有的权限(除了没有绑定主账号权限)。

  • 付费账号和主账号是相互独立的两个阿里云账号,付费账号与主账号之间的绑定付费关系只在购买 EDAS 的时候有效,即付费账号只能替主账号购买 EDAS,不能代替购买其他资源。被绑定的主账号如果需要使用 EDAS 中使用的其他资源,如 ECS、SLB 等(具体的资源详情请参考资源管理),则需要用本账号购买。

下文以几个典型场景为例来进一步说明 EDAS 账号体系的运用。

场景一

某公司用账号 A 购买了 EDAS,那么 A 就是一个付费账号,同时也是一个主账号。该公司还有其他两个部门都需要使用 EDAS,于是账号 A 将这两个部门的账号 B、C 绑定为主账号。那么 B、C 账号不需要付费购买 EDAS 就可以正常访问 EDAS 了。如下图所示:

account2

场景二

假设 B、C 需要使用 EDAS 的完整功能,如创建应用、运行应用等,则必须自行购买 ECS 等资源,而不能用账号 A 进行购买,如下图所示:

account3

场景三

准备好资源后,三个主账号对应的部门分别创建了各自的子账号,用于权限及资源的具体分配和管理。A 账号给子账号 a 授予了所有的 ECS 资源和所有权限;B 账号创建了应用管理员和运维管理员的两个角色,并将这两个角色分别授予给了子账号 b1,b2;C 账号创建了一个查看应用的角色,授权给了 c。

account4