可信服务是指支持与资源目录组合使用的其他阿里云服务。资源目录允许可信服务访问资源目录中的成员、资源夹等信息。您可以使用管理账号或可信服务的委派管理员账号,在可信服务中基于组织进行业务管理,从而简化企业对云服务的统一管理。例如:配置审计集成资源目录后,管理账号可以在可信服务配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。
可信服务使用流程
您可以通过控制台或API使用可信服务。下面以控制台为例说明使用流程。
在资源管理控制台,使用管理账号,开通资源目录。
具体操作,请参见开通资源目录。
在资源管理控制台,使用管理账号,搭建企业的组织结构。您可以创建新的成员,也可以邀请已有的阿里云账号加入组织。
具体操作,请参见创建资源夹、创建成员和邀请阿里云账号加入资源目录。
(可选)在资源管理控制台,使用管理账号,将成员设置为可信服务的委派管理员账号。
如果不设置可信服务的委派管理账号,则需使用管理账号在可信服务中进行业务管理。
关于如何设置委派管理员账号,请参见添加委派管理员账号。
说明该步骤仅适用于支持委派管理员的可信服务。
在可信服务控制台,使用管理账号或委派管理员账号,启用多账号管理功能。然后基于资源目录的组织结构选择需要统一管理的成员,并对已选中的成员进行业务管理。
不同可信服务的操作不一样。具体操作,请参见支持的可信服务的相关文档列。
支持的可信服务
可信服务 | 可信服务标识 | 功能介绍 | 是否支持委派管理员账号 | 相关文档 |
配置审计 | config.aliyuncs.com | 配置审计集成资源目录后,管理账号可以在配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。 | 是 | |
操作审计 | actiontrail.aliyuncs.com | 操作审计集成资源目录后,管理账号可以在操作审计中创建多账号跟踪。多账号跟踪将资源目录内的所有成员的操作事件投递到对象存储OSS或日志服务SLS。 | 是 | |
云安全中心 | sas.aliyuncs.com | 云安全中心集成资源目录后,能够在云安全中心通过统一的界面展示企业内所有成员中检测出的安全风险。 | 是 | |
云防火墙 | cloudfw.aliyuncs.com | 云防火墙集成资源目录后,能够统一管理多账号的公网IP资产,统一配置防御策略以及查看日志分析,实现集中安全管控。 | 是 | |
全站加速 | multiaccount.dcdn.aliyuncs.com | 全站加速集成资源目录后,能够提供多账号管理功能,实现跨账号跨产品的域名资源统一管理。 | 否 | 无 |
企业云监控 | cloudmonitor.aliyuncs.com | 企业云监控与资源目录集成,轻松实现企业跨阿里云账号的资源统一监控。 | 是 | |
云SSO | cloudsso.aliyuncs.com | 管理账号可以在云SSO中统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置用户对资源目录中成员的访问权限。 | 是 | |
日志审计服务 | audit.log.aliyuncs.com | 日志审计服务支持多账号环境下自动化、中心化采集云产品日志,并进行日志审计分析。 | 是 | |
资源编排服务 | ros.aliyuncs.com | 管理账号可以在资源目录的成员中一键部署系统所依赖的云资源,满足企业多账号环境下的资源集中管理需求。 | 是 | |
资源共享 | resourcesharing.aliyuncs.com | 管理账号在启用资源目录组织共享后,支持将云资源共享给指定成员、指定资源夹或整个资源目录。新加入资源夹或资源目录的成员将自动获取对共享资源的访问权限,从资源夹或资源目录移除的成员将自动取消对共享资源的访问权限。 | 否 | |
云治理中心 | governance.aliyuncs.com | 管理账号可以在云治理中心中统一查看企业各成员的资源分布和趋势变化,为企业各成员统一配置合规审计防护规则和统一投递审计日志。 | 否 | |
标签 | tag.aliyuncs.com | 管理账号可以启用标签策略的多账号模式,规范管理资源目录中各成员的标签操作。 | 是 | |
服务目录 | servicecatalog.aliyuncs.com | 将服务目录的产品组合共享给资源目录中的多个成员,且产品组合配置变更后,也可以实时同步给被共享的多个成员,从而大幅提升管理效率。 | 是 | |
配额中心 | quotas.aliyuncs.com | 通过创建配额模板,当资源目录有新增成员时可自动为新增成员提交配额申请。 | 否 | |
资源中心 | resourcecenter.aliyuncs.com | 资源中心为您提供跨账号、跨产品、跨地域的资源统一视图及资源搜索能力。 | 是 | |
消息中心 | messagecenter.aliyuncs.com | 支持统一管理企业多个账号的消息通知联系人。 | 否 | |
Prometheus监控服务 | prometheus.aliyuncs.com | 支持企业内多账号Prometheus实例的统一监控。 | 是 | |
碳足迹 | energy.aliyuncs.com | 支持管理账号在统一界面中,查看企业内所有云账号下云资源产生的温室气体排放数据。 | 是 | |
Web应用防火墙3.0 | waf.aliyuncs.com | 支持集中访问成员账号下的云产品资源,从而实现云产品资源接入WAF并配置统一安全策略。 | 是 | |
DDoS原生防护 | ddosbgp.aliyuncs.com | 支持多账号共享DDoS防护实例。 | 是 | |
堡垒机 | bastionhost.aliyuncs.com | 支持通过一台堡垒机集中管理多个云账号下的资产,实现统一运维管控。 | 是 | |
数据安全中心 | sddp.aliyuncs.com | 管理多个云账号下数据资产,聚合查看和管理分类分级结果、数据资产风险、威胁事件等,提升安全运营效率。 | 是 |
启用或禁用可信服务
您可以通过各可信服务的控制台或API,启用或禁用可信服务。具体操作,请参见各可信服务的相关文档。
您可以在资源管理控制台的左侧导航栏,选择
,查看可信服务的状态。但您不能在资源管理控制台上启用或禁用可信服务。有些可信服务会在您执行某些特定操作时(例如:在操作审计中创建多账号跟踪或第一次在可信服务中查看资源目录相关的资源时),自动将可信服务状态更新为已启用。
有些可信服务会在您执行某些特定操作时(例如:关闭一个功能时),自动将可信服务状态更新为已禁用。禁用可信服务意味着该可信服务不能再访问资源目录中的账号和资源,同时,该可信服务会删除本服务内与资源目录集成相关的全部资源。
可信服务与服务关联角色
资源目录为每个成员创建了资源目录的服务关联角色(AliyunServiceRoleForResourceDirectory),该角色允许资源目录为可信服务创建服务所需角色的权限。该角色仅允许资源目录扮演。更多信息,请参见资源目录中的RAM角色。
可信服务仅在需要执行管理操作的成员中创建可信服务的服务关联角色(例如:配置审计的服务关联角色AliyunServiceRoleForConfig)。该角色定义了允许可信服务执行特定任务所需的权限。该角色仅允许对应的可信服务扮演。
服务关联角色的权限策略由对应的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。更多信息,请参见服务关联角色。