跨资源目录迁移成员账号-资源管理-阿里云

企业因组织架构调整、业务合并或分拆时，需要在不同资源目录间迁移成员账号。跨资源目录移动功能支持将成员账号直接从一个资源目录（Resource Directory, RD）移动到另一个资源目录，无需先将账号移出再重新邀请。

迁移流程概览

跨资源目录迁移成员账号涉及三种账号类型：

账号类型	说明
原资源目录管理账号	成员当前所属资源目录的管理者，负责授权成员可被外部邀请。
新资源目录管理账号	目标资源目录的管理者，负责发起邀请。
被迁移的成员账号	需要迁移的账号，可以是资源账号或云账号。

迁移包含以下步骤：

原目录开启邀请许可：原资源目录的管理账号开启“允许成员接受外部邀请”的设置。
新目录发起邀请：新资源目录的管理账号向目标成员账号发起邀请。
被邀请成员接受邀请：被迁移的成员账号登录并接受邀请。
验证迁移结果：在新旧资源目录中验证成员归属关系。

与传统“先移出、再邀请”方式相比，直接迁移成员账号简化了流程，无需将成员账号升级为可独立登录的云账号，避免绑定手机、邮箱等步骤。

迁移的影响与风险

在执行迁移前，请充分评估以下潜在影响：

权限策略变化：成员账号迁移成功后，将不再受原资源目录的管控策略（Control Policy）影响，开始继承新资源目录的管控策略。建议在迁移前查看与成员账号绑定的管控策略，并提前在新资源目录中进行相应配置。
付款关系：迁移不直接改变与原资源目录的付款和账单归属关系，即结算账号将保持不变。如需更新结算账号，请至财务系统处理。更多信息，请参见财务托管业务须知。
云资源：账号下存量的云资源（如ECS、RDS等）不受影响。新增或修改存量云资源的操作可能会受到新资源目录下管控策略的影响。
资源共享：成员账号通过资源目录组织共享出去的资源、或者通过资源目录组织获得的共享资源，都将取消，需在新资源目录中重新配置。
移除前，您可以登入成员账号，查看账号的资源共享情况。具体操作，请参见查看共享单元详情、查看参与的资源共享详情。
可信服务：可信服务中如果有纳管该成员账号，移除后，将不再受原资源目录可信服务统一管理，需在新资源目录中重新配置。
例如：在操作审计中，当云账号从资源目录移除后，当前资源目录管理账号创建的多账号跟踪将不再跟踪该云账号的日志。
回滚机制：账号迁移是单向操作，一旦成功无法自动回滚。如需迁回，必须再次执行反向迁移操作。

适用范围

被邀请账号限制

需要和邀请方资源目录的管理账号同属于阿里云中国站或阿里云国际站。
不能是其他资源目录的管理账号。
所在资源目录需开启“允许成员接受外部邀请”开关。
若为委派管理员账号，或处于删除中、升级中状态，无法接受邀请。

邀请方限制

只能邀请与管理账号企业实名信息一致的成员账号加入资源目录。如果是集团型公司，有多个不同实名认证子公司的情况，请联系您的商务经理处理。

步骤一：原资源目录开启邀请许可

授权资源目录下的成员可以响应来自其他资源目录的邀请。此功能默认关闭。

使用管理账号登录资源管理控制台。
在左侧导航栏，选择资源目录 > 设置。
找到设置允许成员接受外部邀请，单击开启。
确认开关状态变为已开启。

步骤二：新资源目录发起邀请

向目标成员账号发送加入当前资源目录的邀请。

说明

权限要求：resourcemanager:InviteAccountToResourceDirectory

使用新资源目录的管理账号登录到资源管理控制台。
在左侧导航栏，选择资源目录 > 邀请。
在邀请记录页面，单击邀请成员。
在弹出的邀请成员对话框中，输入被邀请账号的 UID 或登录邮箱（即成员账号的账号名称）。
单击确定发送邀请。邀请的有效期为15天。
邀请成功后，可在邀请记录页面查看状态。被邀请账号尚未确认时，状态显示为等待确认。

步骤三：被邀请成员接受邀请

成员账号确认加入新资源目录。

说明

权限要求：resourcemanager:AcceptHandshake

使用被迁移的成员账号登录到资源管理控制台。
说明
也可使用原资源目录的管理账号登录，在资源目录 > 目录管理中找到待迁移的成员账号，单击登入，以 RAM 角色（ResourceDirectoryAccountAccessRole）身份登录。
登录后，通常会在右上角的消息中心收到邀请通知，可根据站内消息中的提示进行处理。也可直接在左侧导航栏选择资源目录 > 收到的邀请，页面会显示收到的邀请信息。
单击操作列的处理邀请。
在弹出的处理邀请对话框中阅读说明后，单击接受邀请。
接受邀请表示同意退出当前资源目录并加入新资源目录。操作成功后，成员账号立即从原资源目录移出并加入新资源目录。

步骤四：验证迁移结果

确保成员账号的归属关系已按预期更新。

在新资源目录中验证

使用新资源目录的管理账号登录资源管理控制台。
在资源目录 > 目录管理的成员列表中，确认已出现迁入的成员账号。
在邀请记录页面，该邀请记录状态变为已接受。

在原资源目录中验证

使用原资源目录的管理账号登录资源管理控制台。
在资源目录 > 目录管理的成员列表中，确认该成员账号已不存在。

操作记录与审计

跨资源目录移动操作会被操作审计（ActionTrail）记录。在相应账号的操作审计控制台可查询以下事件：

场景	发生账号	事件名称	关键字段
新RD管理账号发起邀请	新RD管理账号	`InviteAccountToResourceDirectory`	`requestParameters.TargetEntity`: 被邀请的成员账号ID。
成员账号接受邀请	成员账号	`AcceptHandshake`	`requestParameters.HandshakeId`: 接受的邀请ID。
成员成功接受外部邀请	原RD管理账号	`MemberAcceptExternalInvitation`	`referencedResources.ACS::ResourceManager::Account`: 离开的成员账号ID。

常见问题

如何阻止特定成员接受其他资源目录的邀请？

通过管控策略禁止成员接受外部邀请。在资源目录中创建 Deny 策略并绑定到目标成员或根节点。

策略示例（禁止成员账号 123456789012****接受外部邀请）：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resourcemanager:AcceptHandshake"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "acs:PrincipalAccount": [
            "123456789012****"
          ],
          "acs:PrincipalRDPath": [
            "rd-xxxxx/path"
          ]
        }
      }
    }
  ]
}

说明

acs:PrincipalRDPath为该成员在资源目录中的路径ID，可在成员详情中查看。

邀请或接受邀请时报错怎么办？

错误信息	可能原因	解决方案
`Your account does not have the same enterpriseName as the master account.`	邀请方和被邀请方的企业实名信息不一致。	确保双方企业实名信息一致，或联系您的商务经理处理。
`You attempted to remove an account that is registered as a delegated administrator...` `Your account is a delegated administrator account and cannot perform this operation.`	被邀请账号是某云服务的委派管理员。	先移除该账号的委派管理员身份，具体请参考移除委派管理员账号。
`The management account of the current resource directory has not enabled...`	成员账号所在的原资源目录未开启“允许成员接受外部邀请”开关。	参考步骤一开启设置。