什么是资源目录

资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。

应用场景

资源目录支持您快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。企业可依赖目录结构进行账号与资源的集中管理,满足企业在网络部署、账单结算、用户权限、安全合规和日志审计等方面的统一管控要求。具体如下:

  • 依据企业业务环境构建目录结构

    企业拥有不同的分公司、部分或项目,资源目录可以根据企业业务环境在云上构建企业的目录结构。

  • 集中管理企业的账号和资源

    当企业拥有多个阿里云账号时,企业希望可以集中管理这些账号和资源。资源目录支持将分散的账号纳入到企业的目录结构下,实现企业对账号下所有资源的集中管理。

  • 统一管理企业的账单与票据

    企业可以在资源目录内创建具有统一结算账号的成员,集中管理账单和发票。

  • 依赖目录结构满足权限及合规性要求

    企业可以为不同的账号、目录结构设定不同的资源访问规则,通过RAM权限策略和资源目录管控策略,打通人员和资源间的授权与管控通道,保障企业资源的访问安全。

  • 开放式接入众多阿里云企业级应用

    依赖目录结构,阿里云财资平台、合规审计平台、云安全平台及网络平台等集成资源目录,提供企业级服务并确保企业管理在相同的架构之内,为企业提供标准的、一致的企业级服务。

基本概念

资源管理

概念

说明

管理账号

管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。

为了确保管理账号的安全,建议您:

  • 使用账号下没有资源的阿里云账号作为管理账号去开通资源目录。

  • 为管理账号创建一个RAM用户并授予资源目录的管理权限(AliyunResourceDirectoryFullAccess),使用该RAM用户管理整个资源目录。

说明

管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。

Root资源夹

Root资源夹位于资源目录的顶层,没有父资源夹。资源关系依据Root资源夹向下分布。

资源夹

资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。

成员

成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。具体如下:

  • 资源账号

    在资源目录中创建的成员默认为资源账号。资源账号禁用了root(root是阿里云账号的Administrator,所以也称为根账号或主账号)登录权限,具有更高的安全性。关于创建资源账号的具体操作,请参见创建成员

  • 云账号

    通过邀请方式加入到资源目录的阿里云账号称为云账号。云账号具有root登录权限。关于邀请阿里云账号的具体操作,请参见邀请阿里云账号加入资源目录

RDPath

RDPath是指资源实体(资源夹或成员)在资源目录中的位置信息,即从资源实体当前位置(资源实体ID)向上直到资源目录(资源目录ID)的全部路径ID组合。格式:

  • 资源夹RDPath:<资源目录ID>/<Root资源夹ID>/……/<当前资源夹ID>

  • 成员RDPath:<资源目录ID>/<Root资源夹ID>/……/<当前成员ID>。例如:成员181761095690****的RDPath为rd-r4****/r-oG****/fd-RIErN0****/fd-XVxh6D****/181761095690****

关于查看资源夹RDPath和成员RDPath的具体操作,请参见查看资源夹基本信息查看成员详情

管控策略

资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。

关于管控策略的更多信息,请参见管控策略概述

可信服务

可信服务是指支持与资源目录组合使用的其他阿里云服务。资源目录允许可信服务访问资源目录中的成员、资源夹等信息。您可以使用管理账号或可信服务的委派管理员账号,在可信服务中基于组织进行业务管理,从而简化企业对云服务的统一管理。例如:配置审计集成资源目录后,管理账号可以在可信服务配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。

关于可信服务的更多信息,请参见可信服务概述

委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。

关于添加或移除委派管理员的具体操作,请参见管理委派管理员账号

使用流程

  1. 使用管理账号登录资源管理控制台

  2. 开通资源目录。

    具体操作,请参见开通资源目录

  3. 创建资源夹,搭建企业的组织结构。

    具体操作,请参见创建资源夹

  4. 创建成员,或者邀请已有的阿里云账号,并将这些成员移动到对应的资源夹下。

    具体操作,请参见创建成员邀请阿里云账号加入资源目录移动成员

使用限制

限制项

最大值

提升配额方式

备注

每个阿里云账号允许创建的资源目录数量

1个

如果账号是资源目录的成员,将不能创建资源目录。

目录中的Root资源夹数量

1个

目录中的资源夹数量

100个

配额申请

不包含Root资源夹。

资源夹层级深度

5级

从Root资源夹向下算起,不包含Root资源夹。

目录中的成员数量

20个

配额申请

每日有效邀请数

20条

配额申请

不包含已接受状态的邀请。

邀请记录过期时间

14天

设置安全手机号码时每天发送验证码的次数

100次

资源目录内最多允许创建自定义管控策略的数量

1500个

每个节点(资源夹、成员)最多允许绑定自定义管控策略的数量

10个

配额申请

每个自定义策略的最大长度

4096个字符

每30天(自然日)周期内最多允许删除的资源账号数量

从成功发起第一个资源账号删除任务开始的30个自然日,为一个周期。在30天周期内,最多允许删除的资源账号如下:

  • 成员数量<100时,30天周期内最多允许删除10个成员。

  • 100≤成员数量≤10000时,30天周期内最多允许删除10%的成员。

  • 成员数量>10000时,最多允许删除1000个成员。

配额申请

目录中的联系人数量

10个

配额申请