在上云初期,提前规划合理的企业身份权限管理方案,就可以在业务规模化上云后,降低身份权限管理风险、提升多账号的管理效率。云治理中心为您提供了引导式的身份权限管理初始化功能,可以对资源目录中的多个成员进行统一身份权限配置。同时,还根据最佳实践,提供了常用的权限配置模板,并形成身份权限管理基线,方便您后续对企业的持续治理。
背景信息
云SSO提供基于阿里云资源目录RD(Resource Directory)的多账号统一身份管理与访问控制,一次性统一配置,即可完成面向多账号的身份和权限配置。推荐您使用云SSO管理企业的用户身份和权限。更多信息,请参见什么是云SSO。
身份权限初始化
登录云治理中心控制台。
在左侧导航栏,选择。
选择蓝图,然后单击搭建。
本文以标准蓝图为例。
在配置蓝图页面的已添加搭建项区域,单击云SSO。
说明如果已添加搭建项中没有目标搭建项,您可以单击添加搭建项,添加目标搭建项。
配置云SSO参数。
在基本信息区域,设置以下参数:
地域
出于数据安全考虑,您可以根据业务数据的主要存储地域,就近选择合适的地域。更多信息,请参见创建目录。
目录名称
目录名称必须全局唯一。您可以添加企业名称作为前缀避免重名。
登录超时时间
云SSO用户使用访问配置访问RD账号时,会话最长能保持多久。单位为秒,取值范围3600~43200(1小时~12小时),默认值为3600(1小时)。
在访问配置模板区域,查看云治理中心内置的访问配置模板。
根据最佳实践,云治理中心内置了下表所列的常用访问配置模板,会自动在云SSO创建这些访问配置。之后您可以在云SSO方便地把这些访问配置绑定到指定账号。
访问配置
权限说明
Administrator
具有账号内全局权限,即管理所有阿里云资源的权限。
Iam
具有访问控制管理员权限,负责企业员工在阿里云的身份权限管理。
Billing
具有查询和管理账单、账户资金管理、发票合同管理等全部财务管理权限。
AuditAdministrator
具有配置审计、操作审计和日志管理的全部权限,同时有权查看所有阿里云资源现状。
LogAdministrator
具有日志的管理权限。
LogAudit
具有日志的查看权限。
NetworkAdministrator
具有网络相关服务的所有权限,并有安全组的权限。
SecurityAudit
具有安全产品的查询安全数据的权限,但不可管理安全产品的配置。
SecurityAdministrator
具有所有安全产品的管理权限。
关于访问配置的更多信息,请参见访问配置概述。
管理身份权限
身份权限初始化成功后,您可以查看或修改云SSO的配置信息。
登录云治理中心控制台。
在左侧导航栏,选择。
在访问配置模板页签,查看访问配置详情。
在身份提供商信息页签,下载身份提供商元数据文档或修改身份提供商配置信息。