多账号统一管理

通过使用阿里云数据安全中心DSC(Data Security Center)多账号统一管理功能,企业能够将其管理的多个阿里云账号中的数据资产、数据对象和审计日志进行集中管理。便于企业有效地执行数据安全管理任务,如自动发现敏感数据、数据分类分级、以及对潜在安全威胁的监测和报警。本文介绍如何使用多账号统一管理功能。

基本概念

使用数据安全中心对企业中多账号与资源的集中管理前,您需要了解一下概念。

概念

说明

归属产品

管理账号

管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。

为了确保管理账号的安全,建议您:

  • 使用账号下没有资源的阿里云账号作为管理账号去开通资源目录。

  • 为管理账号创建一个RAM用户并授予资源目录的管理权限(AliyunResourceDirectoryFullAccess),使用该RAM用户管理整个资源目录。

说明

管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。

资源管理

Root资源夹

Root资源夹位于资源目录的顶层,没有父资源夹。资源关系依据Root资源夹向下分布。

资源夹

资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。

成员

成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。

委派管理员

资源目录的管理账号可以将资源目录中的成员设置为可信服务(例如,数据安全中心)的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

成员账号

委派管理员将资源管理中成员设置为数据安全中心的成员账号。设置成功后,委派管理员可以在数据安全中心服务中访问成员账号下的云资源数据。

数据安全中心

功能限制

目前仅数据安全中心的付费版实例支持使用多账号统一管理功能。

统一管理多账号资产示例

您可以参考以下流程构建多账号体系,通过委派管理员使用数据安全中心管理多个阿里云账号下资产的数据安全。

场景说明:阿里云账号A、B、C、D、E归属于同一个资源目录。阿里云账号A为资源目录的管理账号,阿里云账号B、C、D、E为资源目录的成员。阿里云账号A将阿里云账号B设置为数据安全中心委派管理员。阿里云账号B可统一管理阿里云账号B、C、D、E下资产,使用DSC的敏感数据保护、基线检查、数据审计以及数据脱敏等服务。同时,可通过阿里云账号B的某个RAM用户,仅管理已授权的阿里云账号D和E下资产使用DSC服务。

image

使用须知

注意事项

说明

多账号认证

使用多账号统一管理功能的阿里云账号和被管理的阿里云账号必须同属于一个资源目录,且必须为同一个企业实名认证主体。

购买DSC实例

  • 仅作为委派管理员的成员账号购买DSC实例。

    您需要使用管理账号将购买DSC的成员账号添加为可信服务数据安全中心的委派管理员;再使用该委派管理员在DSC控制台将需要管理的阿里云账号(未购买DSC实例)添加为数据安全中心成员账号。该委派管理员可实现统一管理对应成员账号下的数据资源。

    具体操作,请参见本文的步骤一:设置数据安全中心委派管理员步骤二:在数据安全中心添加成员账号

  • 已购买DSC实例的成员账号不支持被加入数据安全中心成员账号。已加入数据安全中心成员账号的阿里云账号,不支持购买或使用数据安全中心。

分级管理成员账号

委派管理员的阿里云账号可统一管理所有成员账号,也支持通过创建RAM用户进行更精细的权限配置。委派管理员能通过RAM用户依据资源目录中的资源夹RDPath,分级管理指定的成员账号。

具体操作,请参见本文的授权RAM用户管理指定的成员账号

功能使用限制

  • 已加入数据安全中心成员账号下的数据资产,不支持使用流量采集(Agent)审计模式。

  • 已加入数据安全中心成员账号下的ADB-PG资产,不支持使用数据安全中心提供的功能。

成员账号费用

为成员账号下的资产开启数据识别和安全审计功能时,部分数据库产品读取数据和存储审计日志的费用,需要成员账号承担。费用详情,请参见接入DSC的云产品附加费用说明

前提条件

  • 已开通资源目录。具体操作,请参见开通资源目录

  • 已在资源目录中创建新的成员账号或邀请已有的阿里云账号。具体操作,请参见创建成员邀请阿里云账号加入资源目录

    如果需要使用RAM用户按照资源夹分级管理成员账号,需要先创建资源夹,然后在资源夹内创建或邀请对应阿里云账号。具体操作,请参见创建资源夹

  • 作为委派管理员的阿里云账号已购买数据安全中心付费版实例。具体操作,请参见购买数据安全中心

步骤一:设置数据安全中心委派管理员

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

  1. 使用企业管理账号登录资源管理控制台

  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,找到数据安全中心,在操作列单击管理

  4. 委派管理员账号区域,单击添加
  5. 添加委派管理员账号面板,将已购买DSC的阿里云账号设置为委派管理员,单击确定

    添加成功后,使用该委派管理员账号访问数据安全中心的多账号统一管理功能,即可进行资源目录组织范围内的管理操作。

步骤二:在数据安全中心添加成员账号

授权RAM用户管理指定的成员账号

说明

如果使用委派管理员的阿里云账号在数据安全中心添加成员账号,可跳过此操作步骤。

  1. 使用委派管理员的阿里云账号登录RAM控制台,创建RAM用户。具体操作,请参见创建RAM用户

  2. 创建自定义权限策略,授权目标RAM用户管理指定的成员账号。

    1. RAM控制台的左侧导航栏,选择权限管理 > 权限策略

    2. 权限策略页面,单击创建权限策略。在创建权限策略页面,单击脚本编辑页签。

    3. 输入权限策略内容,然后单击继续编辑基本信息

      复制以下策略内容,修改Condition设置权限策略:支持授权方在数据安全中心控制台的多账号统一管理页面添加yundun-sddp:AddMultiAccountMembers)和删除yundun-sddp:DeleteMultiAccountMembers)指定的成员账号。

      关于权限策略语法结构的详情,请参见权限策略语法和结构

      授权管理单个成员账号

      设置ConditionStringNotEqualsacs:RDManageScope值为资源目录下目标资源夹的RDPath加目标成员的UID

      image

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "yundun-sddp:AddMultiAccountMembers",
                      "yundun-sddp:DeleteMultiAccountMembers"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "StringNotEquals": {
                          "acs:RDManageScope": [
                              "rd-BXXXXs/r-cXXXX6/163XXXXXX1494597"
                          ]
                      }
                  }
              }
          ]
      }

      授权管理资源夹下成员账号

      设置ConditionStringNotLikeacs:RDManageScope值为资源目录下目标资源夹的RDPath/*

      image

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "yundun-sddp:AddMultiAccountMembers",
                      "yundun-sddp:DeleteMultiAccountMembers"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "StringNotLike": {
                          "acs:RDManageScope": [
                              "rd-BXXXXs/r-cXXXX6/fd-BrXXXXXXM4/*"
                          ]
                      }
                  }
              }
          ]
      }
    4. 输入权限策略名称备注

    5. 单击确定

    6. 单击新增授权

    7. 新增授权页面,搜索并选中目标RAM用户,为该RAM用户选中刚创建的自定义权限策略,单击确认新增授权,然后单击关闭

委派管理员添加成员账号

  1. 使用委派管理员的阿里云账号或RAM用户登录数据安全中心控制台

  2. 在左侧导航栏,单击多账号统一管理

  3. 如果您是首次使用多账号统一管理功能,请单击开通多账号统一管理

    该操作会将可信服务数据安全中心的状态更新为已启用。

  4. 单击添加成员账号

  5. 添加成员账号对话框,选择需管理的成员账号,并单击确定

    如果使用委派管理员的RAM用户添加的成员账号,不在该RAM用户的权限策略范围内,系统会提示没有权限

步骤三:管理成员账号资产

委派管理员的阿里云账号或RAM用户在DSC控制台添加成员账号后,可以管理当前账号和成员账号的数据资产。下文以资产授权页面为例介绍管理成员账号资产的操作步骤。

说明

部分页面不支持按照UID筛选数据,例如总览页面,具体支持情况请以控制台页面显示为准。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择资产中心

  3. 授权管理页签下,可以通过筛选UID,管理对应阿里云账号下的资产。

    image

删除数据安全中心成员账号

不需要管理某个成员账号的所有资产时,可以删除该成员账号。删除成员账号后,数据安全中心控制台中该账号相关的所有数据会被自动移除。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择资产中心

  3. 取消需删除的成员账号下所有资产的授权。具体操作,请参见取消授权

  4. 在左侧导航栏,选择系统设置 > 多账号统一管理

  5. 多账号统一管理页面,单击目标账号操作列的删除

    如果使用委派管理员的RAM用户删除不具备管理权限的成员账号,系统会提示没有权限

  6. 在提示对话框中,单击删除

常见问题

企业内多个账号已购买DSC,如何使用一个账号完成统一管理?

已购买DSC实例的成员账号不支持通过其他账号统一管理。该类账号下的资源需要被其他账号管理时,您需要为该账号退订已购买的DSC实例,再使用管理账号或委派管理员账号将该类账号添加为数据安全中心的成员账号。

退订详情,请参见退款说明

提示当前账号无法开启数据安全中心怎么办?

您访问数据安全中心控制台提示当前账号无法开启数据安全中心,表示当前阿里云账号已被资源目录管理账号或委派管理员账号加入数据安全中心成员账号,当前账号不支持使用数据安全中心功能。您可以通过以下方式使用数据安全中心相应功能:

  • 方式一:使用资源目录的管理账号或委派管理员账号登录,通过多账号统一管理功能来实现当前账号下的资源使用数据安全中心能力。

  • 方式二:联系资源目录的管理账号或委派管理员账号,在数据安全中心控制台多账号统一管理页面,删除当前账号。然后,使用当前账号购买并使用DSC。

相关文档