文档

资源目录管理账号最佳实践

更新时间:

您可以使用已完成企业实名认证的阿里云账号开通资源目录,开通后,该阿里云账号即为资源目录管理账号(Management Account,简称MA)。资源目录管理账号对资源目录、资源夹和成员拥有完全控制权限,每个资源目录有且只有一个管理账号。请遵循本文所述的最佳实践,帮助您提升资源目录管理账号的安全性。

使用管理账号仅限于必需的操作

由于管理账号具有资源目录下所有成员的完全控制权限,建议您仅将管理账号用于必需的操作,严格限制管理账号的访问权限,避免不需要做组织管理的人员具有该账号的权限。

您可以为管理账号创建一个RAM用户并授予资源目录的管理权限(AliyunResourceDirectoryFullAccess),使用该RAM用户管理整个资源目录,避免直接使用管理账号的主账号。

说明

AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表

避免在管理账号中部署业务资源

应避免在管理账号中部署任何业务资源。一方面因为资源目录的管控策略对管理账号不生效,无法约束管理账号下业务资源的操作。另一方面,如若管理账号下部署业务资源,那么将引入业务人员对管理账号的访问权限,增加管理账号的管理风险。

使用委派管理员账号分散管理账号的管理职责

建议您将资源目录的组织管理任务与业务管理任务相分离。管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,分散管理账号的管理职责。

例如:安全管理员使用云防火墙的委派管理员账号,执行云防火墙的安全管理操作,而无需拥有管理账号的访问权限。