统一配置身份权限

在上云初期,提前规划合理的企业身份权限管理方案,就可以在业务规模化上云后,降低身份权限管理风险、提升多账号的管理效率。云治理中心为您提供了引导式的身份权限管理初始化功能,可以对资源目录中的多个成员进行统一身份权限配置。同时,还根据最佳实践,提供了常用的权限配置模板,并形成身份权限管理基线,方便您后续对企业的持续治理。

背景信息

云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制,一次性统一配置,即可完成面向多账号的身份和权限配置。推荐您使用云SSO管理企业的用户身份和权限。更多信息,请参见什么是云SSO

身份权限初始化

  1. 登录云治理中心控制台

  2. 在左侧导航栏,选择Landing Zone > Landing Zone搭建

  3. 选择蓝图,然后单击搭建

    本文以标准蓝图为例。

  4. 配置蓝图页面的已添加搭建项区域,单击云SSO

    说明

    如果已添加搭建项中没有目标搭建项,您可以单击添加搭建项,添加目标搭建项。

  5. 配置云SSO参数。

    1. 基本信息区域,设置以下参数:

      • 地域

        出于数据安全考虑,您可以根据业务数据的主要存储地域,就近选择合适的地域。更多信息,请参见创建目录

      • 目录名称

        目录名称必须全局唯一。您可以添加企业名称作为前缀避免重名。

      • 登录超时时间

        云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。单位为秒,取值范围3600~43200(1小时~12小时),默认值为3600(1小时)。

    2. 访问配置模板区域,查看云治理中心内置的访问配置模板。

      根据最佳实践,云治理中心内置了下表所列的常用访问配置模板,会自动在云SSO创建这些访问配置。之后您可以在云SSO方便地把这些访问配置绑定到指定账号。

      访问配置

      权限说明

      Administrator

      具有账号内全局权限,即管理所有阿里云资源的权限。

      Iam

      具有访问控制管理员权限,负责企业员工在阿里云的身份权限管理。

      Billing

      具有查询和管理账单、账户资金管理、发票合同管理等全部财务管理权限。

      AuditAdministrator

      具有配置审计、操作审计和日志管理的全部权限,同时有权查看所有阿里云资源现状。

      LogAdministrator

      具有日志的管理权限。

      LogAudit

      具有日志的查看权限。

      NetworkAdministrator

      具有网络相关服务的所有权限,并有安全组的权限。

      SecurityAudit

      具有安全产品的查询安全数据的权限,但不可管理安全产品的配置。

      SecurityAdministrator

      具有所有安全产品的管理权限。

      关于访问配置的更多信息,请参见访问配置概述

管理身份权限

身份权限初始化成功后,您可以查看或修改云SSO的配置信息。

  1. 登录云治理中心控制台

  2. 在左侧导航栏,选择多账号管理 > 身份权限

  3. 访问配置模板页签,查看访问配置详情。

  4. 身份提供商信息页签,下载身份提供商元数据文档或修改身份提供商配置信息。