在账号工厂创建账号前,您需要先配置统一的账号基线,即配置账号的身份权限、网络、安全等常用的基线项,以此提升创建账号的效率。
操作步骤
登录云治理中心控制台。
在左侧导航栏,单击账号工厂。
在账号工厂页面的账号基线编排区域,单击设置。
在账号基线编排对话框,选择要配置的账号基线,然后单击确认。
如果Default默认基线不能满足您的需求,您可以单击新建基线,创建多个自定义基线进行编排。例如:您可以为不同业务用途的账号创建不同的基线模板,方便后续的账号创建。本示例选择Default默认基线。
对于不用的基线,您可以单击目标基线右侧的图标,删除目标基线。系统会自动检查是否存在账号应用了该基线,当没有账号应用该基线时,才允许删除该基线。
修改基线名称。
在基线名称右侧,单击图标。
在编辑基线属性对话框,输入新的基线名称和描述。
单击确定。
添加基线项。
系统自带的结算关系、云SSO权限绑定和防护规则三个默认基线项不允许删除。您可以基于默认基线项,添加新的基线项。
单击添加基线项。
在添加基线项对话框,选中基线项,然后单击添加。
如有存在依赖关系的基线项,当您选中一个基线项时,系统会自动选中依赖的基线项。例如:选中安全组时,会自动选中VPC。
配置基线项参数。
单击目标基线项右侧的或图标,配置目标基线项的参数。
单击保存。
基线项列表
支持配置的账号基线项
基线项 | 描述 | 依赖的基线项 | 相关文档 |
结算关系(系统默认基线) | 为资源目录的成员指定统一的财务结算账号,有利于企业进行统一的财务成本管理。 | 无 | 无 |
云SSO权限绑定(系统默认基线) | 对资源目录中的多个成员进行统一身份权限配置,降低身份权限管理风险,提升多账号的管理效率。 | 无 | |
防护规则(系统默认基线) | 统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。 | 无 | |
RAM密码策略 | 设置密码规则可以提高RAM用户的账号安全。常见规则:密码长度、包含字符和密码有效期等。 | 无 | |
VPC | 专有网络(VPC)是专有的云上私有网络,需要配置IP地址段、交换机和ACL等。 | 无 | |
安全组 | 安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。 | VPC | |
账号联系人 | 为账号设置联系人,用于配置消息通知。阿里云不会将联系人信息对外披露或向第三方提供。 | 无 | |
消息通知 | 为每类消息设置接收人。对于账号、产品和故障等重要消息,建议您务必设置接收人,避免消息遗漏,从而造成损失。 | 账号联系人 | |
开通云产品 | 对于必须要管理员才能开通的云产品,为了避免账号内的RAM用户权限不足而导致业务不可用,您可以通过此基线项,在创建账号时自动开通选中服务。 说明 部分云产品的开通会依赖服务角色,云治理中心将会自动创建这些服务角色。更多信息,请参见开通云产品时自动创建的服务角色列表。 | 无 | |
RAM角色 | 创建可信实体为资源目录管理账号的RAM角色,管理账号可以扮演该角色进行日常运维操作,降低操作风险。 | 无 | |
ECS密钥对 | 把密钥对推送到指定账号,在创建实例时可指定密钥对或者创建实例后绑定密钥对,然后使用私钥连接实例。 | 无 | |
ECS共享镜像 | 共享镜像可用于跨账号部署ECS实例,您可以将镜像共享给其他阿里云账号使用。 | 无 | |
预置标签 | 预置标签是指预先创建并作用于所有地域的一种标签,您可以在标签规划阶段创建预置标签,然后在标签实施阶段绑定具体的云资源。 | 无 | |
RAM用户安全设置 | 配置RAM用户的全局安全设置,包括是否允许自主管理密码、登录会话的过期时间、MFA相关设置等。 | 无 | |
RAM角色SSO配置 | 将当前登录账号的基于SAML的RAM角色SSO配置同步到成员中。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色来登录阿里云。 | 无 |
开通云产品时自动创建的服务角色
云服务 | 云服务标识 | 服务角色 | 权限策略 |
应用实时监控服务ARMS | arms.aliyuncs.com | AliyunServiceRoleForARMS | AliyunServiceRolePolicyForARMS |
NAT网关 | nat.aliyuncs.com | AliyunServiceRoleForNatgw | AliyunServiceRolePolicyForNatgw |
事件总线EventBridge | source-cms.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceCMS | AliyunServiceRolePolicyForEventBridgeSourceCMS |
connect-vpc.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeConnectVPC | AliyunServiceRolePolicyForEventBridgeConnectVPC | |
source-actiontrail.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceActionTrail | AliyunServiceRolePolicyForEventBridgeSourceActionTrail | |
数据管理DMS | dms.aliyuncs.com | AliyunDMSDefaultRole | AliyunDMSRolePolicy |
dms.aliyuncs.com | AliyunServiceRoleForDMS | AliyunServiceRolePolicyForDMS | |
数据传输服务DTS | dts.aliyuncs.com | AliyunDTSDefaultRole | AliyunDTSRolePolicy |
dms.aliyuncs.com | AliyunServiceRoleForDMS | AliyunServiceRolePolicyForDMS | |
容器服务Kubernetes版 | cs.aliyuncs.com | AliyunCSDefaultRole | AliyunCSDefaultRolePolicy |
AliyunCSKubernetesAuditRole | AliyunCSKubernetesAuditRolePolicy | ||
AliyunCSManagedArmsRole | AliyunCSManagedArmsRolePolicy | ||
AliyunCSManagedCmsRole | AliyunCSManagedCmsRolePolicy | ||
AliyunCSManagedCsiRole | AliyunCSManagedCsiRolePolicy | ||
AliyunCSManagedKubernetesRole | AliyunCSManagedKubernetesRolePolicy | ||
AliyunCSManagedLogRole | AliyunCSManagedLogRolePolicy | ||
AliyunCSManagedNetworkRole | AliyunCSManagedNetworkRolePolicy | ||
AliyunCSManagedVKRole | AliyunCSManagedVKRolePolicy | ||
AliyunCSServerlessKubernetesRole | AliyunCSServerlessKubernetesRolePolicy | ||
AliyunCSManagedNlcRole | AliyunCSManagedNlcRolePolicy | ||
AliyunCSManagedAutoScalerRole | AliyunCSManagedAutoScalerRolePolicy | ||
oos.aliyuncs.com | AliyunOOSLifecycleHook4CSRole | AliyunOOSLifecycleHook4CSRolePolicy | |
函数计算 | fc.aliyuncs.com | AliyunFCDefaultRole | AliyunFCDefaultRolePolicy |
日志服务 | log.aliyuncs.com | AliyunLogArchiveRole | AliyunLogArchiveRolePolicy |
传统型负载均衡CLB | slb.aliyuncs.com | SLBLogDefaultRole | AliyunSLBRolePolicy |
slb.aliyuncs.com | AliyunSLBHealthDiagnoseRole | AliyunSLBHealthDiagnoseRolePolicy | |
微服务引擎MSE | mse.aliyuncs.com | AliyunServiceRoleForMSE | AliyunServiceRolePolicyForMSE |
VPN网关 | vpn.aliyuncs.com | AliyunServiceRoleForVpn | AliyunServiceRolePolicyForVpn |
后续步骤
账号基线配置完成后,您可以使用此账号基线快捷地创建账号。具体操作,请参见使用账号基线创建账号。