当您拥有多个阿里云账号时,在每个账号上创建OpenAPI MCP Server会导致操作复杂且管理MCP服务变得困难。因此,OpenAPI MCP Server提供了多账号MCP功能,支持统一管理MCP Server,并以一致的MCP 访问模式对多账号下的其他云账号进行访问、管理。
多账号MCP是通过角色扮演功能实现的,需要使用RAM用户或RAM角色进行OAuth授权,不支持使用阿里云账号使用多账号MCP能力。
多账号MCP参数说明
多账号 MCP
选项 | 说明 |
仅本账号 | MCP仅能操作当前账号的云端资源。 |
多账号 | MCP既能操作当前账号的云端资源,也能够操作其他账号上的云端资源。 |
多账号 RAM 角色名称
选项 | 使用场景 | 功能介绍 |
资源目录管理角色ResourceDirectoryAccountAccessRole | 若您公司是使用资源目录搭建的企业多账号资源结构,并且您当前所使用的RAM账号属于管理账号,则您可以选择通过资源目录管理角色对所有成员账号上的云端资源进行操作。 | 资源目录会自动为所有成员账号创建RAM角色(ResourceDirectoryAccountAccessRole),并将该角色的可信实体设置为资源目录的管理账号,这使得管理账号拥有对所有成员账号进行角色扮演并访问的权限。 |
自定义角色 | 任意两个阿里云账号之间。 | 需在被扮演的阿里云账号下手动创建RAM角色,并将可信实体设置为用于创建OpenAPI MCP Server的阿里云账号。 说明 RAM角色的权限请根据实际情况添加。 |
案例一、使用资源目录管理角色
当您公司是使用资源目录搭建的多账号资源结构时,可以直接扮演成员账号中的RAM角色(ResourceDirectoryAccountAccessRole),从而实现对成员账号云端资源的访问。
1、管理账号创建OpenAPI MCP Server
访问阿里云OpenAPI MCP服务创建MCP服务,选择多账号,多账号RAM角色名称选择资源目录管理角色ResourceDirectoryAccountAccessRole。
2、在MCP Client监控成员账号云端资源状态
本文以在通义灵码中使用为例。
根据在通义灵码中配置MCP完成OpenAPI MCP Server配置。
在通义灵码会话框中选择智能体,然后输入自然语言,例如“查询xxx账号xx地域ECS实例的运行状态”。
执行 MCP 工具时,OpenAPI MCP Server 会自动切换到目标账号(有权限的前提下),在目标账号进行 MCP 的实际操作。
案例二、使用自定义角色
某公司采用阿里云多账号架构,将研发、市场、运维和财务等部门分配至独立账号,实现资源隔离与权限控制。部门间通过 RAM 角色扮演方式安全访问资源,例如运维团队通过角色集中监控各业务账号的运行状态。过去,运维人员需逐一进行角色扮演,手动登录不同账号执行操作,流程繁琐、效率较低。随着阿里云 OpenAPI MCP Server 支持多账号架构,运维团队部署了统一的 MCP Server。运维人员只需在 MCP Client 中输入自然语言指令(如“查询xxx账号xx地域ECS实例的运行状态”),即可快速跨账号查询资源信息,大幅提升了运维效率。
1、创建RAM角色
在业务团队的阿里云账号上创建RAM角色,以便运维团队能够进行角色扮演。
访问RAM 控制台-创建角色,创建一个信任主体类型为云账号,信任主体为运维账号的RAM角色。
运维人员通过扮演该角色访问该业务账号的云端资源,因此,必须为RAM角色授予相应资源的权限。如何为RAM角色授权,请参见为RAM角色授权。
将该RAM角色的角色名称提供给运维团队。
2、创建OpenAPI MCP Server
使用运维团队的阿里云账号访问阿里云OpenAPI MCP服务,创建MCP服务时选择多账号,并在自定义角色中输入业务团队账号提供的RAM角色名称。
3、在MCP Client执行MCP操作
例如,运维人员在MCP客户端监控ECS实例的运行状态,本文将以通义灵码执行MCP为例进行说明。
根据在通义灵码中配置MCP完成OpenAPI MCP Server配置。
在通义灵码会话框中选择智能体,然后输入自然语言,例如“查询xxx账号xx地域ECS实例的运行状态”。
执行 MCP 工具时,OpenAPI MCP Server 会自动切换到目标账号(有权限的前提下),在目标账号进行 MCP 的实际操作。
