管理资源目录的常见问题

开通资源目录的方式有几种？如何选择？

开通资源目录时，系统会自动检查当前登录账号的企业实名认证、安全信息（手机号码或电子邮箱）及资源保有情况，然后判断其是否具备开通资源目录的条件，并根据判断结果推荐以下两种方式中的一种去开通资源目录。

• 使用当前登录账号开通资源目录

  该方式适用于当前登录账号已完成企业实名认证、已设置安全信息且账号下没有资源的情况。

• 创建新的管理账号开通资源目录

  该方式适用于当前登录账号已完成企业实名认证，但未设置安全信息或账号下存在资源的情况。

  该方式会创建一个新的阿里云账号作为资源目录的管理账号，新账号会继承当前登录账号的企业实名认证信息。新账号需要通过密码找回功能设置控制台登录密码。同时，当前登录账号会成为该资源目录的成员。

为什么无法开通资源目录？

可能有如下两个原因：

• 当前账号没有进行企业实名认证。关于企业实名认证，请参见企业实名认证。
• 当前账号已经在资源目录内，无法重复开通。

什么样的账号不适合作为资源目录的管理账号？

• 账号下有待处理的邀请。

  建议：先处理邀请后再开通资源目录。

• 账号下已经有云资源部署了业务或应用。

  建议：由于管理账号将承载整个资源目录的架构管理、用户权限管控等高权限操作，为了确保管理账号的安全，建议您创建一个新的阿里云账号作为管理账号，避免将已有用途的阿里云账号作为管理账号。

关闭资源目录会产生什么影响？

• 您创建的组织关系和管控策略等数据将会被清理。
• 已启用的可信服务中的相关数据将会被清理。例如：如果您在操作审计中创建了多账号跟踪，当关闭资源目录后，操作审计中的多账号跟踪数据将会被清理。
• 可信服务中集成了资源目录的功能可能会被禁用。例如：云SSO的多账号权限管理功能，只有资源目录已启用时才能正常运行。

为什么资源目录的很多功能仅支持RAM用户使用？

阿里云安全最佳实践推荐使用最小权限用户进行操作。账号的管理员用户（根用户）默认具备Administrator权限，具有极高的安全风险，不符合安全实践要求。

资源目录中建议禁用所有账号的根用户，启用可配置适当权限的RAM用户执行所有操作。

资源目录的关键操作仅支持具有访问权限的RAM用户操作，主要是因为：

• 符合最小权限原则。
• 规避账号的管理员用户权限滥用导致的安全风险。
• 规避企业多个用户共享阿里云账号密钥带来的安全风险。
• 为企业员工分配对应的RAM用户，系统会记录RAM用户的操作行为，方便审计回溯。