资源账号类型或云账号类型的成员,可以通过本文所述的方法登录阿里云控制台。
登录方式
登录方式 | 描述 | 适用对象 |
资源目录RD(Resource Directory)会自动为所有成员创建RAM角色(ResourceDirectoryAccountAccessRole),并将该角色的可信实体设置为资源目录的管理账号,这使得管理账号拥有对所有成员进行角色扮演并访问的权限。管理账号可以在自己的账号下创建一个RAM用户,并为RAM用户授予必要的权限,就可以通过该RAM用户扮演成员RAM角色(ResourceDirectoryAccountAccessRole)的方式登录到成员的控制台。 |
| |
管理账号的RAM用户通过扮演成员RAM角色登录到成员控制台后,可以为成员创建RAM用户并授权。之后,就可以通过成员的RAM用户直接登录控制台。 | ||
对于云账号类型的成员,您可以使用阿里云账号(根用户)的用户名和登录密码直接登录控制台。 | 从外部邀请加入资源目录的阿里云账号,即云账号类型的成员。 | |
云SSO提供基于阿里云资源目录的多账号统一身份管理与访问控制。当您开通了云SSO并在RD成员上完成了授权,云SSO用户就可以登录云SSO用户门户,按照访问配置中的权限访问RD成员中对应的资源。 | 云SSO用户 |
操作步骤
通过RAM角色登录阿里云控制台
使用管理账号创建RAM用户并授权。
使用管理账号登录RAM控制台。
创建RAM用户。
本示例中使用的RAM用户名为Alice。具体操作,请参见创建RAM用户。
为RAM用户(Alice)授权。
您需要为RAM用户(Alice)至少授予以下权限:
AliyunSTSAssumeRoleAccess:调用STS服务AssumeRole接口的权限。
AliyunResourceDirectoryFullAccess:管理资源目录服务(ResourceDirectory)的权限。
说明如果该RAM用户(Alice)用作管理员,您也可以直接授予AdministratorAccess权限。该权限属于高危权限,请谨慎授予。
具体操作,请参见为RAM用户授权。
使用RAM用户(Alice)扮演成员角色的方式登录成员的控制台。
使用RAM用户(Alice)登录资源管理控制台。
在左侧导航栏,选择。
在资源组织视图或成员列表视图下,单击目标成员操作列的登入。
登录之后,管理账号的RAM用户(Alice)将扮演目标成员的RAM角色(ResourceDirectoryAccountAccessRole),进行角色(ResourceDirectoryAccountAccessRole)定义范围内的操作。
通过RAM用户登录阿里云控制台
使用管理账号的RAM用户通过RAM角色扮演的方式登录成员的阿里云控制台。
具体操作,请参见通过RAM角色登录阿里云控制台。
为成员创建RAM用户。
本示例中使用的RAM用户名为Tom。具体操作,请参见创建RAM用户。
为RAM用户(Tom)授权。
遵循最小化授权原则,授予RAM用户(Tom)访问具体云资源的权限。具体操作,请参见为RAM用户授权。
使用RAM用户(Tom)登录控制台。
具体操作,请参见RAM用户登录阿里云控制台。
通过根用户登录阿里云控制台(不推荐)
为安全起见,不建议通过根用户登录。
登录阿里云控制台。
输入阿里云账号的用户名和登录密码。
单击登录。
通过云SSO用户登录阿里云控制台
您可以参照使用云SSO统一管理企业多账号的身份和权限完成云SSO中的相关设置,然后参照登录用户门户并访问阿里云资源完成云SSO用户的登录。