本文为您介绍资源目录管理账号的根账号(主账号)无法登入成员、删除成员、切换成员类型、为成员绑定安全手机的问题原因和解决方案。
问题现象
资源目录管理账号的根账号(主账号)无法登入成员、删除成员、切换成员类型、为成员绑定安全手机,控制台对应操作按钮置灰,如下图所示:
问题原因
阿里云安全最佳实践推荐使用最小权限用户进行操作。账号的根账号(主账号)默认具备Administrator权限,具有极高的安全风险,不符合安全实践要求。资源目录中建议禁用所有账号的根账号(主账号),启用可配置适当权限的RAM用户执行所有操作。
资源目录的关键操作仅支持具有访问权限的RAM用户操作,主要是因为:
符合最小权限原则。
规避账号的根账号(主账号)权限滥用导致的安全风险。
为企业员工分配对应的RAM用户,系统会记录RAM用户的操作行为,方便审计回溯。
解决方案
您可以为资源目录管理账号创建一个RAM用户,授予对应的权限,然后使用该RAM用户执行操作。
使用管理账号的根账号(主账号)创建RAM用户。
使用管理账号的根账号(主账号)登录RAM控制台,选择,单击创建用户,创建RAM用户。为了账号安全,建议您根据实际用途为RAM用户只选择控制台访问或OpenAPI调用访问中的一种,将人员用户和应用程序用户分离,避免混用。具体操作,请参见创建RAM用户。
使用管理账号的根账号(主账号)为RAM用户授权。
在用户页面,找到目标RAM用户,单击操作列的添加权限,为RAM用户授予对应的权限策略。具体操作,请参见为RAM用户授权。
不同场景下需要授予的权限策略各不相同,具体如下表所示。
场景
权限策略
无法登入成员
资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。
RAM角色扮演权限(AliyunSTSAssumeRoleAccess)。
无法删除资源账号类型的成员
资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。
说明未开启成员删除许可,删除按钮也会被置灰。所以,您还需要开启成员删除许可。具体操作,请参见开启成员删除许可。
无法切换成员类型
资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。
无法为成员绑定安全手机
资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。
说明AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表。
使用RAM用户登录阿里云控制台。
使用RAM用户登录阿里云控制台,输入RAM用户名和密码,然后访问资源管理控制台,按需进行操作。
