您可以使用已完成企業實名認證的阿里雲帳號開通資來源目錄,開通後,該阿里雲帳號即為資來源目錄管理帳號(Management Account,簡稱MA)。資來源目錄管理帳號對資來源目錄、資源夾和成員擁有完全控制許可權,每個資來源目錄有且只有一個管理帳號。請遵循本文所述的最佳實務,協助您提升資來源目錄管理帳號的安全性。
使用管理帳號僅限於必需的操作
由於管理帳號具有資來源目錄下所有成員的完全控制許可權,建議您僅將管理帳號用於必需的操作,嚴格限制管理帳號的存取權限,避免不需要做組織管理的人員具有該帳號的許可權。
您可以為管理帳號建立一個RAM使用者並授予資來源目錄的系統管理權限(AliyunResourceDirectoryFullAccess),使用該RAM使用者管理整個資來源目錄,避免直接使用管理帳號的主帳號。
說明
AliyunResourceDirectoryFullAccess是管理資來源目錄服務的最大許可權,如果只是做部分操作,建議您僅授予操作所需的最小許可權。鑒權列表詳情,請參見資來源目錄鑒權列表。
避免在管理帳號中部署業務資源
應避免在管理帳號中部署任何業務資源。一方面因為資來源目錄的管控策略對管理帳號不生效,無法約束管理帳號下業務資源的操作。另一方面,如若管理帳號下部署業務資源,那麼將引入業務人員對管理帳號的存取權限,增加管理帳號的管理風險。
使用委派管理員帳號分散管理帳號的管理職責
建議您將資來源目錄的組織管理工作與業務管理工作相分離。管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作,分散管理帳號的管理職責。
例如:安全性系統管理員使用Cloud Firewall的委派管理員帳號,執行Cloud Firewall的安全管理操作,而無需擁有管理帳號的存取權限。