可信服务是指支持与资源目录组合使用的其他阿里云服务。资源目录允许可信服务访问资源目录中的成员、资源夹等信息。您可以使用管理账号或可信服务的委派管理员账号,在可信服务中基于组织进行业务管理,从而简化企业对云服务的统一管理。例如:配置审计集成资源目录后,管理账号可以在可信服务配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。

可信服务使用流程

您可以通过控制台或API使用可信服务。下面以控制台为例说明使用流程。

  1. 资源管理控制台,使用管理账号,开通资源目录。

    具体操作,请参见开通资源目录

  2. 资源管理控制台,使用管理账号,搭建企业的组织结构。您可以创建新的成员,也可以邀请已有的阿里云账号加入组织。

    具体操作,请参见创建资源夹创建成员邀请阿里云账号加入资源目录

  3. (可选)在资源管理控制台,使用管理账号,将成员设置为可信服务的委派管理员账号。

    如果不设置可信服务的委派管理账号,则需使用管理账号在可信服务中进行业务管理。

    关于如何设置委派管理员账号,请参见添加委派管理员账号

    说明 该步骤仅适用于支持委派管理员的可信服务。
  4. 在可信服务控制台,使用管理账号或委派管理员账号,启用多账号管理功能。然后基于资源目录的组织结构选择需要统一管理的成员,并对已选中的成员进行业务管理。

    不同可信服务的操作不一样。具体操作,请参见支持的可信服务的相关文档列。

支持的可信服务

可信服务 功能介绍 是否支持委派管理员账号 相关文档
配置审计 配置审计集成资源目录后,管理账号可以在配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。 账号组概述
操作审计 操作审计集成资源目录后,管理账号可以在操作审计中创建多账号跟踪。多账号跟踪将资源目录内的所有成员的操作事件投递到对象存储OSS或日志服务SLS。 多账号跟踪
云安全中心 云安全中心集成资源目录后,能够在云安全中心通过统一的界面展示企业内所有成员中检测出的安全风险。 多账号安全管控
云防火墙 云防火墙集成资源目录后,能够统一管理多账号的公网IP资产,统一配置防御策略以及查看日志分析,实现集中安全管控。 统一账号管理
全站加速 全站加速集成资源目录后,能够提供多账号管理功能,实现跨账号跨产品的域名资源统一管理。

云SSO 管理账号可以在云SSO中统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置用户对资源目录中成员的访问权限。 多账号授权概述
日志审计服务 日志审计服务支持多账号环境下自动化、中心化采集云产品日志,并进行日志审计分析。 配置多账号采集
资源编排服务 管理账号可以在资源目录的成员中一键部署系统所依赖的云资源,满足企业多账号环境下的资源集中管理需求。 资源栈组概览

启用或禁用可信服务

您可以通过各可信服务的控制台或API,启用或禁用可信服务。具体操作,请参见各可信服务的相关文档。

您可以在资源管理控制台的左侧导航栏,选择资源目录 > 可信服务,查看可信服务的状态。但您不能在资源管理控制台上启用或禁用可信服务。

有些可信服务会在您执行某些特定操作时(例如:在操作审计中创建多账号跟踪或第一次在可信服务中查看资源目录相关的资源时),自动将可信服务状态更新为已启用。

有些可信服务会在您执行某些特定操作时(例如:关闭一个功能时),自动将可信服务状态更新为已禁用。禁用可信服务意味着该可信服务不能再访问资源目录中的账号和资源,同时,该可信服务会删除本服务内与资源目录集成相关的全部资源。

可信服务与服务关联角色

资源目录为每个成员创建了资源目录的服务关联角色(AliyunServiceRoleForResourceDirectory),该角色允许资源目录为可信服务创建服务所需角色的权限。该角色仅允许资源目录扮演。更多信息,请参见资源目录服务关联角色

可信服务仅在需要执行管理操作的成员中创建可信服务的服务关联角色(例如:配置审计的服务关联角色AliyunServiceRoleForConfig)。该角色定义了允许可信服务执行特定任务所需的权限。该角色仅允许对应的可信服务扮演。

服务关联角色的权限策略由对应的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。更多信息,请参见服务关联角色