备案控制台
开发者社区 云计算 文章 正文

服务目录支持多账号共享

2022-10-13 297
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 服务目录基于资源目录实现多账号共享,方便管理员在企业中的多个账号上统一配置服务目录产品。

服务目录(Service Catalog)文章索引


一、在多账号场景下使用服务目录

大型企业一般会使用多账号的方式来管理资源(企业按照子公司、部门、业务、环境等因素划分不同的账号)。如果IT管理员希望用户在这些账号上使用同样的服务目录产品,就需要重复进行多次配置操作。


资源共享

资源共享(Resource Sharing)是指多账号间通过共享的方式将一个账号下的指定资源共享给一个或多个目标账号使用。


对服务目录来说,就是要将IT管理员在某个账号中创建的产品和产品组合共享给企业内部的其他账号使用。如果没有共享功能,那么管理员需要在所有账号都创建一遍服务目录产品;在更新产品信息时,需要手动更新所有账号的产品,使其保持一致,这会带来很高的维护成本。


服务目录支持基于资源目录(Resource Directory)的多账号共享:在企业管理账号或者委派管理员账号中创建产品和产品组合,并以产品组合为单位,共享给资源目录、资源夹或者成员账号。


二、基于资源目录实现共享

接下来我们详细讲述IT管理员需要在管理账号和成员账号中分别进行哪些配置工作。


1. 在管理账号中进行共享

管理员登录资源目录的企业管理账号或者委派管理员账号,选择已经创建好的产品组合,在共享管理页面中,点击【添加到共享单元】。可以选择已有的共享单元,也可以新建共享单元。


在本例中,我们选择新建共享单元。接下来需要填写共享单元名称,选择添加方式为【通过资源目录添加】,可以在左侧看到资源目录的结构。共享对象可以选择资源目录、资源夹、成员账号,可以同时选择多个共享对象。


如果选择共享给资源目录或者资源夹,服务目录会将产品组合共享给范围内的所有账号。例如,上图中我们将产品组合共享给“研发部”这个资源夹,那么服务目录会将产品组合共享给“研发部”下的Account-A和Account-B,以及未来可能被加入到这个资源夹的账号。


当账号被加入资源目录或者资源夹的时候,服务目录会自动将产品组合共享给新的账号;当账号被移除的时候,服务目录会自动取消共享。在企业账号结构不经常变动的情况下,共享给资源目录或者资源夹是一个很好的选择。


2. 在成员账号上查看共享产品组合

管理员登录成员账号,在本例中,我们登录“研发部”下的Account-A,可以在产品组合管理中看到其他账号共享的产品组合。产品组合中的产品、产品版本和约束始终与原本的产品组合保持一致。


3. 在成员账号上配置和使用服务目录

管理员还需要在成员账号上进行两项配置工作:

  • 为启动约束创建对应的启动角色
  • 将产品组合授权给当前账号中的RAM用户/RAM角色


创建启动角色

如果共享产品组合中存在约束,那么在成员账号中使用产品时,同样要满足这些约束。对启动约束而言,主要的配置项是角色名称,代表服务目录会使用当前账号中的哪个角色来启动产品,该角色需要是普通服务角色(受信实体为服务目录)。

本例中有一个对ECS产品的启动约束,指定了启动角色为TerraformExecutionRole(角色名称由管理员定义)。


在成员账号上,需要创建相同名称的启动角色。管理员可以在RAM控制台上创建对应的角色,打开RAM控制台,点击创建角色,选择可信实体类型为【阿里云服务】。


点击下一步,角色类型选择【普通服务角色】,角色名称填写启动约束中的名称,受信服务选择服务目录。


启动角色需要有ROS的权限,以及模板相关资源的权限,在本例的模板中,我们要创建一台ECS,所以需要给启动角色授予AliyunROSFullAccess和AliyunECSFullAccess的权限。


产品组合授权

产品组合的授权关系不会被共享,服务目录允许管理员在成员账号上将共享产品组合授权给成员账号中的RAM用户/RAM角色。


到这里,服务目录在多账号上的配置工作就完成了,终端用户可以登录到成员账号上使用服务目录创建资源了。


在后续的维护中,管理员在管理账号中为产品组合添加产品、产品版本和约束,在成员账号上都是实时同步的,方便管理员发布新的产品,以及禁用废弃的产品版本。


三、使用委派管理员账号管理服务目录产品

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。更多信息,请参见支持委派管理员账号的可信服务


通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。


设置服务目录的委派管理员账号

在资源管理控制台上,查看可信服务,可以看到服务目录,点击管理进入配置页面。


服务目录支持设置一个委派管理员账号,可以选择资源目录内的任意一个账号,使其成为服务目录的委派管理员。可信服务启用状态会在委派管理员账号第一次进行共享时自动激活,管理员无需设置。


在使用委派管理员账号后,企业管理账号仍然能够进行共享,推荐使用委派管理员账号来创建和共享服务目录产品组合。

文章标签:
弹性计算
索引
安全
贝熊
目录
相关文章
流烟默
|
5月前
|
Linux Shell 数据安全/隐私保护
Linux中用户/组/密码管理相关操作
Linux中用户/组/密码管理相关操作
流烟默
45 0
开放平台
|
7月前
|
弹性计算 运维 监控
使用资源目录搭建和管理多账号的云环境
2023年8月8日,《构建多账号云环境白皮书》正式发布,由阿里云开放平台资源目录产品经理知意和阿里云开放平台解决方案资深架构师遥方主讲,内容涵盖:白皮书发布及解读;使用资源目录搭建和管理多账号的云环境。
开放平台
36780 2
使用资源目录搭建和管理多账号的云环境
飞云觅宙
|
Serverless
函数计算权限配置——主账号权限问题
函数计算权限配置——主账号权限问题自制脑图
飞云觅宙
60 0
函数计算权限配置——主账号权限问题
贝熊
|
弹性计算 分布式计算 安全
通过服务目录创建云资源
服务目录是阿里云的一款产品,用于帮助企业客户搭建自定义的服务目录,快速实现云资源的供给。
贝熊
356 0
开发者小助手
|
安全 算法 Linux
Linux用户和组管理 - 用户和组配置文件
一、介绍安全3A 二、用户 user 三、组 group 四、Linux 安全上下文 五、Linux 组的类别 六、Linux 用户和组的主要配置文件 七、密码加密 八、shadow 文件格式 九、passwd 文件格式 十、密码的复杂性策略 十一、 group 文件格式
开发者小助手
199 0
Linux用户和组管理 - 用户和组配置文件
开发者小助手
|
关系型数据库 MySQL Shell
Linux用户和组管理 - 用户和组管理
一、默认值设定 二、显示或更改默认设置 三、新建用户的相关文件和命令 四、用户属性修改 五、删除用户 六、查看用户相关的 ID 信息 七、切换用户以其他用户身份执行命令 八、设置密码 九、修改用户密码策略 十、用户相关的其他命令 十一、创建组 十二、修改和删除组 十三、更改组密码 十四、更改和查看组成员 十五、文件权限
开发者小助手
142 0
Linux用户和组管理 - 用户和组管理
小生生
|
文件存储
文件存储管理权限组的规则及操作
本文介绍如何在NAS控制台上管理权限组,包括创建权限组和规则、查看权限组列表、查看规则列表、删除权限组、删除规则等。
小生生
743 0
jan1990
升级用户创建
--1. 创建源库迁移临时用户 CREATE USER migups IDENTIFIED BY &pwDEFAULT TABLESPACE usersTEMPORARY TABLESPACE tempQUOTA UNLIMITED ON users; GRANT dba TO migups;GRANT select ON sys.
jan1990
990 0
honeymoose
|
数据安全/隐私保护
Confluence 6 使用 LDAP 授权连接一个内部目录 - 拷贝用户到登录
在登录时拷贝用户(Copy User on Login) 这个选项在用户尝试登录的时候将会被触发。如果这个选择框被选择的话,当用户使用 LDAP 授权的用户名和密码登录系统的时候,用户将会在内部目录自动创建,用户的信息将会在每次用户登录的时候同步过来。
honeymoose
1353 0
李博 bluemind
|
关系型数据库 数据安全/隐私保护 Oracle
EBS R12.1 - 新建账号及失效EBS账号, 为用户添加职责
李博 bluemind
1646 0

热门文章

最新文章

  • 1
    企业应用架构实践(复杂性应对之道)
  • 2
    SolidWorks2021中文版【Solid Works 附补丁】完美破解版下载 安装教程
  • 3
    3+1保障:高可用系统稳定性是如何炼成的?
  • 4
    大数据上手实战!《Elasticsearch 实战进阶营》第二季限时免费报名啦
  • 5
    OLAP与OLTP介绍
  • 6
    浅显易懂的机器学习(八)—— 随机森林分类
  • 7
    Windows 2008 AD 备份
  • 8
    《Ext JS权威指南》——2.9节为本书示例准备一个模板
  • 9
    NS2原理
  • 10
    Asp.net MVC2.0系列文章-显示列表和详细页面操作
  • 1
    Java中数组详解
    40
  • 2
    智能评估时代:SurveyKing开源问卷系统YYDS
    62
  • 3
    LabVIEW编程LabVIEW开发高级数据采集技术 操作数字IO 例程与相关资料
    37
  • 4
    【大模型】描述与 LLM 相关的个人项目或感兴趣的领域
    37
  • 5
    【大模型】使用哪些资源来了解 LLM 的最新进展?
    47
  • 6
    LabVIEW编程LabVIEW开发高级数据采集技术 计数器定时器的操作 例程与相关资料
    25
  • 7
    LabVIEW编程LabVIEW开发高级数据采集技术 模拟波形的生成 例程与相关资料
    23
  • 8
    Linux:进程等待 & 进程替换
    27
  • 9
    LabVIEW编程LabVIEW开发高级数据采集技术 同步 例程与相关资料
    19
  • 10
    LabVIEW编程LabVIEW开发高级数据采集技术定时与触发 例程与相关资料
    18

    • 相关课程

    更多
  • Linux用户和组管理
  • Linux 用户及权限

    • 相关电子书

    更多
  • 《用管控策略设定多账号组织全局访问边界》
  • ECS块储存产品全面解析
  • ICA安全标准组测试认证分享

    • 相关实验场景

    更多
  • 使用函数计算挂载NAS并搭建照片管理平台
  • 使用CLup和iSCSI共享盘快速体验PolarDB for PostgtreSQL
  • 使用Count功能批量创建资源
  • 使用资源编排为云资源批量绑定标签
  • 通过会话管理端口转发功能访问ECS内部服务
  • 如何在云端创建MySQL数据库
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)