文档

配置账号基线

更新时间:

在账号工厂创建账号前,您需要先配置统一的账号基线,即配置账号的身份权限、网络、安全等常用的基线项,以此提升创建账号的效率。

操作步骤

  1. 登录云治理中心控制台

  2. 在左侧导航栏,单击账号工厂

  3. 账号工厂页面的账号基线编排区域,单击设置

  4. 账号基线编排对话框,选择要配置的账号基线,然后单击确认

    如果Default默认基线不能满足您的需求,您可以单击新建基线,创建多个自定义基线进行编排。例如:您可以为不同业务用途的账号创建不同的基线模板,方便后续的账号创建。本示例选择Default默认基线。

    对于不用的基线,您可以单击目标基线右侧的删除 图标,删除目标基线。系统会自动检查是否存在账号应用了该基线,当没有账号应用该基线时,才允许删除该基线。

  5. 修改基线名称。

    1. 在基线名称右侧,单击修改基线名称图标。

    2. 编辑基线属性对话框,输入新的基线名称和描述。

    3. 单击确定

  6. 添加基线项。

    系统自带的结算关系云SSO权限绑定防护规则三个默认基线项不允许删除。您可以基于默认基线项,添加新的基线项。

    1. 单击添加基线项

    2. 添加基线项对话框,选中基线项,然后单击添加

      如有存在依赖关系的基线项,当您选中一个基线项时,系统会自动选中依赖的基线项。例如:选中安全组时,会自动选中VPC

  7. 配置基线项参数。

    单击目标基线项右侧的编辑配置图标,配置目标基线项的参数。

  8. 单击保存

基线项列表

支持配置的账号基线项

基线项

描述

依赖的基线项

相关文档

结算关系(系统默认基线)

为资源目录的成员指定统一的财务结算账号,有利于企业进行统一的财务成本管理。

云SSO权限绑定(系统默认基线)

对资源目录中的多个成员进行统一身份权限配置,降低身份权限管理风险,提升多账号的管理效率。

统一配置身份权限

防护规则(系统默认基线)

统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

统一配置防护规则

RAM密码策略

设置密码规则可以提高RAM用户的账号安全。常见规则:密码长度、包含字符和密码有效期等。

设置RAM用户密码强度

VPC

专有网络(VPC)是专有的云上私有网络,需要配置IP地址段、交换机和ACL等。

什么是专有网络

安全组

安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。

VPC

安全组概述

账号联系人

为账号设置联系人,用于配置消息通知。阿里云不会将联系人信息对外披露或向第三方提供。

消息通知

为每类消息设置接收人。对于账号、产品和故障等重要消息,建议您务必设置接收人,避免消息遗漏,从而造成损失。

账号联系人

开通云产品

对于必须要管理员才能开通的云产品,为了避免账号内的RAM用户权限不足而导致业务不可用,您可以通过此基线项,在创建账号时自动开通选中服务。

说明

部分云产品的开通会依赖服务角色,云治理中心将会自动创建这些服务角色。更多信息,请参见开通云产品时自动创建的服务角色列表。

RAM角色

创建可信实体为资源目录管理账号的RAM角色,管理账号可以扮演该角色进行日常运维操作,降低操作风险。

RAM角色概览

ECS密钥对

把密钥对推送到指定账号,在创建实例时可指定密钥对或者创建实例后绑定密钥对,然后使用私钥连接实例。

SSH密钥对概述

ECS共享镜像

共享镜像可用于跨账号部署ECS实例,您可以将镜像共享给其他阿里云账号使用。

共享自定义镜像

预置标签

预置标签是指预先创建并作用于所有地域的一种标签,您可以在标签规划阶段创建预置标签,然后在标签实施阶段绑定具体的云资源。

创建预置标签

RAM用户安全设置

配置RAM用户的全局安全设置,包括是否允许自主管理密码、登录会话的过期时间、MFA相关设置等。

管理RAM用户安全设置

RAM角色SSO配置

将当前登录账号的基于SAML的RAM角色SSO配置同步到成员中。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色来登录阿里云。

管理SAML身份提供商

开通云产品时自动创建的服务角色

云服务

云服务标识

服务角色

权限策略

应用实时监控服务ARMS

arms.aliyuncs.com

AliyunServiceRoleForARMS

AliyunServiceRolePolicyForARMS

NAT网关

nat.aliyuncs.com

AliyunServiceRoleForNatgw

AliyunServiceRolePolicyForNatgw

事件总线EventBridge

source-cms.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeSourceCMS

AliyunServiceRolePolicyForEventBridgeSourceCMS

connect-vpc.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeConnectVPC

AliyunServiceRolePolicyForEventBridgeConnectVPC

source-actiontrail.eventbridge.aliyuncs.com

AliyunServiceRoleForEventBridgeSourceActionTrail

AliyunServiceRolePolicyForEventBridgeSourceActionTrail

数据管理DMS

dms.aliyuncs.com

AliyunDMSDefaultRole

AliyunDMSRolePolicy

dms.aliyuncs.com

AliyunServiceRoleForDMS

AliyunServiceRolePolicyForDMS

数据传输服务DTS

dts.aliyuncs.com

AliyunDTSDefaultRole

AliyunDTSRolePolicy

dms.aliyuncs.com

AliyunServiceRoleForDMS

AliyunServiceRolePolicyForDMS

容器服务Kubernetes版

cs.aliyuncs.com

AliyunCSDefaultRole

AliyunCSDefaultRolePolicy

AliyunCSKubernetesAuditRole

AliyunCSKubernetesAuditRolePolicy

AliyunCSManagedArmsRole

AliyunCSManagedArmsRolePolicy

AliyunCSManagedCmsRole

AliyunCSManagedCmsRolePolicy

AliyunCSManagedCsiRole

AliyunCSManagedCsiRolePolicy

AliyunCSManagedKubernetesRole

AliyunCSManagedKubernetesRolePolicy

AliyunCSManagedLogRole

AliyunCSManagedLogRolePolicy

AliyunCSManagedNetworkRole

AliyunCSManagedNetworkRolePolicy

AliyunCSManagedVKRole

AliyunCSManagedVKRolePolicy

AliyunCSServerlessKubernetesRole

AliyunCSServerlessKubernetesRolePolicy

AliyunCSManagedNlcRole

AliyunCSManagedNlcRolePolicy

AliyunCSManagedAutoScalerRole

AliyunCSManagedAutoScalerRolePolicy

oos.aliyuncs.com

AliyunOOSLifecycleHook4CSRole

AliyunOOSLifecycleHook4CSRolePolicy

函数计算

fc.aliyuncs.com

AliyunFCDefaultRole

AliyunFCDefaultRolePolicy

日志服务

log.aliyuncs.com

AliyunLogArchiveRole

AliyunLogArchiveRolePolicy

传统型负载均衡CLB

slb.aliyuncs.com

SLBLogDefaultRole

AliyunSLBRolePolicy

slb.aliyuncs.com

AliyunSLBHealthDiagnoseRole

AliyunSLBHealthDiagnoseRolePolicy

微服务引擎MSE

mse.aliyuncs.com

AliyunServiceRoleForMSE

AliyunServiceRolePolicyForMSE

VPN网关

vpn.aliyuncs.com

AliyunServiceRoleForVpn

AliyunServiceRolePolicyForVpn

后续步骤

账号基线配置完成后,您可以使用此账号基线快捷地创建账号。具体操作,请参见使用账号基线创建账号