文档

为什么资源目录的很多功能不支持根用户(主账号)使用?

更新时间:

阿里云安全最佳实践推荐使用最小权限用户进行操作。账号的根用户(主账号)默认具备Administrator权限,具有极高的安全风险,不符合安全实践要求。资源目录中建议禁用所有账号的根用户(主账号),启用可配置适当权限的RAM用户执行所有操作。

问题原因

资源目录的关键操作仅支持具有访问权限的RAM用户操作,主要是因为:

  • 符合最小权限原则。

  • 规避账号的根用户(主账号)权限滥用导致的安全风险。

  • 为企业员工分配对应的RAM用户,系统会记录RAM用户的操作行为,方便审计回溯。

问题现象和解决方案

问题现象

解决方案

管理账号的根用户(主账号)无权登入成员账号。

为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。同时,为该RAM用户授予RAM角色扮演权限(AliyunSTSAssumeRoleAccess)。使用该RAM用户登入成员账号。具体操作,请参见通过RAM角色登录阿里云控制台

说明

AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表

管理账号的根用户(主账号)无权删除资源账号。

为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。同时,必须开启成员删除许可。具体操作,请参见开启成员删除许可删除资源账号类型的成员

说明

AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表

管理账号的根用户(主账号)无权切换成员账号类型、无权为成员绑定安全手机。

为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。使用该RAM用户切换成员账号类型、为成员绑定安全手机。

说明

AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表

无法通过资源账号的根用户(主账号)登录阿里云控制台。

资源目录中创建的资源账号,本身没有根用户(主账号),所以无法通过主账号用户名和密码登录的方式登录阿里云控制台,您需要通过RAM用户或RAM角色登录控制台。具体操作,请参见通过RAM角色登录阿里云控制台通过RAM用户登录阿里云控制台

说明

如果某些特殊场景,您必须通过资源账号的根用户(主账号)登录,您可以将成员的类型由资源账号切换为云账号。具体操作,请参见如何通过成员的根用户(主账号)登录控制台?