當您擁有多個阿里雲帳號時,在每個帳號上建立OpenAPI MCP Server會導致操作複雜且管理MCP服務變得困難。因此,OpenAPI MCP Server提供了多帳號MCP功能,支援統一管理MCP Server,並以一致的MCP 訪問模式對多帳號下的其他雲帳號進行訪問、管理。
多帳號MCP是通過角色扮演功能實現的,需要使用RAM使用者或RAM角色進行OAuth授權,不支援使用阿里雲帳號使用多帳號MCP能力。
多帳號MCP參數說明
多帳號 MCP
在控制台的OpenAPI MCP Server配置頁面中,"多帳號 MCP"配置地區提供下拉選項,可選擇"僅本帳號"或"多帳號"模式,用於指定MCP Server的帳號存取範圍。
|
選項 |
說明 |
|
僅本帳號 |
MCP僅能操作當前帳號的雲端資源。 |
|
多帳號 |
MCP既能操作當前帳號的雲端資源,也能夠操作其他帳號上的雲端資源。 |
多帳號 RAM 角色名稱
|
選項 |
使用情境 |
功能介紹 |
|
資來源目錄管理角色ResourceDirectoryAccountAccessRole |
若您公司是使用資來源目錄搭建的企業多帳號資源結構,並且您當前所使用的RAM使用者屬於管理帳號,則您可以選擇通過資來源目錄管理角色對所有成員帳號上的雲端資源進行操作。 |
資來源目錄會自動為所有成員帳號建立RAM角色(ResourceDirectoryAccountAccessRole),並將該角色的可信實體設定為資來源目錄的管理帳號,這使得管理帳號擁有對所有成員帳號進行角色扮演並訪問的許可權。 |
|
自訂角色 |
任意兩個阿里雲帳號之間。 |
需在被扮演的阿里雲帳號下手動建立RAM角色,並將可信實體設定為用於建立OpenAPI MCP Server的阿里雲帳號。 說明
RAM角色的許可權請根據實際情況添加。 |
案例一、使用資來源目錄管理角色
當您公司是使用資來源目錄搭建的多帳號資源結構時,可以直接扮演成員帳號中的RAM角色(ResourceDirectoryAccountAccessRole),從而實現對成員帳號雲端資源的訪問。
1、管理帳號建立OpenAPI MCP Server
訪問Alibaba Cloud OpenAPI MCP service建立MCP服務,選擇多帳號,多帳號RAM角色名稱選擇資來源目錄管理角色ResourceDirectoryAccountAccessRole。
填寫名稱為 multi-account,文檔語言選擇中文,OAuth 配置選擇阿里雲官方 OAuth。
2、在MCP Client監控成員帳號雲端資源狀態
本文以在通義靈碼中使用為例。
-
根據在通義靈碼中配置MCP完成OpenAPI MCP Server配置。
-
在通義靈碼會話框中選擇智能體,然後輸入自然語言,例如“查詢xxx帳號xx地區ECS執行個體的運行狀態”。在通義靈碼對話介面中,單擊左下角智能體切換到智能體模式,在輸入框中輸入查詢指令(如"查詢杭州地區ECS執行個體運行狀態"),然後單擊發送按鈕執行查詢。
-
執行 MCP 工具時,OpenAPI MCP Server 會自動切換到目標帳號(有許可權的前提下),在目標帳號進行 MCP 的實際操作。
通義靈碼通過 MCP 工具
rd-role/Ecs-20140526-DescribeInstanceStatus查詢目標成員帳號在杭州地區(cn-hangzhou)的 ECS 執行個體狀態,返回結果顯示該帳號下共有 1 台 ECS 執行個體,執行個體狀態為 Running(運行中)。
案例二、使用自訂角色
某公司採用阿里雲多帳號架構,將研發、市場、營運和財務等部門分配至獨立帳號,實現資源隔離與許可權控制。部門間通過 RAM 角色扮演方式安全訪問資源,例如營運團隊通過角色集中監控各業務帳號的運行狀態。過去,營運人員需逐一進行角色扮演,手動登入不同帳號執行操作,流程繁瑣、效率較低。隨著阿里雲 OpenAPI MCP Server 支援多帳號架構,營運團隊部署了統一的 MCP Server。營運人員只需在 MCP Client 中輸入自然語言指令(如“查詢xxx帳號xx地區ECS執行個體的運行狀態”),即可快速跨帳號查詢資源資訊,大幅提升了營運效率。
1、建立RAM角色
在業務團隊的阿里雲帳號上建立RAM角色,以便營運團隊能夠進行角色扮演。
-
訪問RAM 控制台-建立角色,建立一個信任主體類型為雲帳號,信任主體為營運帳號的RAM角色。信任主體類型選擇雲帳號,信任主體名稱選擇其他雲帳號,並輸入營運團隊的雲帳號 ID,單擊確定。
-
營運人員通過扮演該角色訪問該業務帳號的雲端資源,因此,必須為RAM角色授予相應資源的許可權。如何為RAM角色授權,請參見管理RAM角色的許可權。
-
將該RAM角色的角色名稱提供給營運團隊。
2、建立OpenAPI MCP Server
使用營運團隊的阿里雲帳號訪問Alibaba Cloud OpenAPI MCP service,建立MCP服務時選擇多帳號,並在自訂角色中輸入業務團隊帳號提供的RAM角色名稱。
名稱輸入 multi-account,文檔語言選擇中文,OAuth 配置選擇阿里雲官方 OAuth,自訂角色名稱例如 multi-account-test。
3、在MCP Client執行MCP操作
例如,營運人員在MCP用戶端監控ECS執行個體的運行狀態,本文將以通義靈碼執行MCP為例進行說明。
-
根據在通義靈碼中配置MCP完成OpenAPI MCP Server配置。
-
在通義靈碼會話框中選擇智能體,然後輸入自然語言,例如“查詢xxx帳號xx地區ECS執行個體的運行狀態”。
-
執行 MCP 工具時,OpenAPI MCP Server 會自動切換到目標帳號(有許可權的前提下),在目標帳號進行 MCP 的實際操作。
例如,在通義靈碼中執行 MCP 工具
multi-account/Ecs-20140526-DescribeInstances,通過x_assume_account_id參數指定目標帳號,設定RegionId為cn-hangzhou查詢杭州地區的 ECS 執行個體。OpenAPI MCP Server 自動切換至目標帳號完成調用,返回結果顯示該帳號在杭州地區共有 2 個 ECS 執行個體,均處於 Running(運行中)狀態。