AI 助理
备案控制台
开发者社区 云计算 文章 正文

服务目录支持多账号共享

2022-10-13 343
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 服务目录基于资源目录实现多账号共享,方便管理员在企业中的多个账号上统一配置服务目录产品。

服务目录(Service Catalog)文章索引


一、在多账号场景下使用服务目录

大型企业一般会使用多账号的方式来管理资源(企业按照子公司、部门、业务、环境等因素划分不同的账号)。如果IT管理员希望用户在这些账号上使用同样的服务目录产品,就需要重复进行多次配置操作。


资源共享

资源共享(Resource Sharing)是指多账号间通过共享的方式将一个账号下的指定资源共享给一个或多个目标账号使用。


对服务目录来说,就是要将IT管理员在某个账号中创建的产品和产品组合共享给企业内部的其他账号使用。如果没有共享功能,那么管理员需要在所有账号都创建一遍服务目录产品;在更新产品信息时,需要手动更新所有账号的产品,使其保持一致,这会带来很高的维护成本。


服务目录支持基于资源目录(Resource Directory)的多账号共享:在企业管理账号或者委派管理员账号中创建产品和产品组合,并以产品组合为单位,共享给资源目录、资源夹或者成员账号。


二、基于资源目录实现共享

接下来我们详细讲述IT管理员需要在管理账号和成员账号中分别进行哪些配置工作。


1. 在管理账号中进行共享

管理员登录资源目录的企业管理账号或者委派管理员账号,选择已经创建好的产品组合,在共享管理页面中,点击【添加到共享单元】。可以选择已有的共享单元,也可以新建共享单元。


在本例中,我们选择新建共享单元。接下来需要填写共享单元名称,选择添加方式为【通过资源目录添加】,可以在左侧看到资源目录的结构。共享对象可以选择资源目录、资源夹、成员账号,可以同时选择多个共享对象。


如果选择共享给资源目录或者资源夹,服务目录会将产品组合共享给范围内的所有账号。例如,上图中我们将产品组合共享给“研发部”这个资源夹,那么服务目录会将产品组合共享给“研发部”下的Account-A和Account-B,以及未来可能被加入到这个资源夹的账号。


当账号被加入资源目录或者资源夹的时候,服务目录会自动将产品组合共享给新的账号;当账号被移除的时候,服务目录会自动取消共享。在企业账号结构不经常变动的情况下,共享给资源目录或者资源夹是一个很好的选择。


2. 在成员账号上查看共享产品组合

管理员登录成员账号,在本例中,我们登录“研发部”下的Account-A,可以在产品组合管理中看到其他账号共享的产品组合。产品组合中的产品、产品版本和约束始终与原本的产品组合保持一致。


3. 在成员账号上配置和使用服务目录

管理员还需要在成员账号上进行两项配置工作:

  • 为启动约束创建对应的启动角色
  • 将产品组合授权给当前账号中的RAM用户/RAM角色


创建启动角色

如果共享产品组合中存在约束,那么在成员账号中使用产品时,同样要满足这些约束。对启动约束而言,主要的配置项是角色名称,代表服务目录会使用当前账号中的哪个角色来启动产品,该角色需要是普通服务角色(受信实体为服务目录)。

本例中有一个对ECS产品的启动约束,指定了启动角色为TerraformExecutionRole(角色名称由管理员定义)。


在成员账号上,需要创建相同名称的启动角色。管理员可以在RAM控制台上创建对应的角色,打开RAM控制台,点击创建角色,选择可信实体类型为【阿里云服务】。


点击下一步,角色类型选择【普通服务角色】,角色名称填写启动约束中的名称,受信服务选择服务目录。


启动角色需要有ROS的权限,以及模板相关资源的权限,在本例的模板中,我们要创建一台ECS,所以需要给启动角色授予AliyunROSFullAccess和AliyunECSFullAccess的权限。


产品组合授权

产品组合的授权关系不会被共享,服务目录允许管理员在成员账号上将共享产品组合授权给成员账号中的RAM用户/RAM角色。


到这里,服务目录在多账号上的配置工作就完成了,终端用户可以登录到成员账号上使用服务目录创建资源了。


在后续的维护中,管理员在管理账号中为产品组合添加产品、产品版本和约束,在成员账号上都是实时同步的,方便管理员发布新的产品,以及禁用废弃的产品版本。


三、使用委派管理员账号管理服务目录产品

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。更多信息,请参见支持委派管理员账号的可信服务


通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。


设置服务目录的委派管理员账号

在资源管理控制台上,查看可信服务,可以看到服务目录,点击管理进入配置页面。


服务目录支持设置一个委派管理员账号,可以选择资源目录内的任意一个账号,使其成为服务目录的委派管理员。可信服务启用状态会在委派管理员账号第一次进行共享时自动激活,管理员无需设置。


在使用委派管理员账号后,企业管理账号仍然能够进行共享,推荐使用委派管理员账号来创建和共享服务目录产品组合。

文章标签:
弹性计算
索引
安全
贝熊
目录
相关文章
玉米侠爱吃玉米
|
6月前
|
安全 Shell Linux
对账号的管理 对文件(文件夹)权限的管理
对账号的管理 对文件(文件夹)权限的管理
玉米侠爱吃玉米
41 0
开放平台
|
弹性计算 运维 监控
使用资源目录搭建和管理多账号的云环境
2023年8月8日,《构建多账号云环境白皮书》正式发布,由阿里云开放平台资源目录产品经理知意和阿里云开放平台解决方案资深架构师遥方主讲,内容涵盖:白皮书发布及解读;使用资源目录搭建和管理多账号的云环境。
开放平台
36852 2
使用资源目录搭建和管理多账号的云环境
贝熊
|
弹性计算 分布式计算 安全
通过服务目录创建云资源
服务目录是阿里云的一款产品,用于帮助企业客户搭建自定义的服务目录,快速实现云资源的供给。
贝熊
396 0
开发者小助理
|
安全 算法 Linux
Linux用户和组管理 - 用户和组配置文件
一、介绍安全3A 二、用户 user 三、组 group 四、Linux 安全上下文 五、Linux 组的类别 六、Linux 用户和组的主要配置文件 七、密码加密 八、shadow 文件格式 九、passwd 文件格式 十、密码的复杂性策略 十一、 group 文件格式
开发者小助理
263 0
Linux用户和组管理 - 用户和组配置文件
开发者小助理
|
关系型数据库 MySQL Shell
Linux用户和组管理 - 用户和组管理
一、默认值设定 二、显示或更改默认设置 三、新建用户的相关文件和命令 四、用户属性修改 五、删除用户 六、查看用户相关的 ID 信息 七、切换用户以其他用户身份执行命令 八、设置密码 九、修改用户密码策略 十、用户相关的其他命令 十一、创建组 十二、修改和删除组 十三、更改组密码 十四、更改和查看组成员 十五、文件权限
开发者小助理
177 0
Linux用户和组管理 - 用户和组管理
LoveAI
|
对象存储 数据安全/隐私保护
赋予RAM子用户访问OSS的某个文件夹的权限策略
给子用户赋予bucket下某个目录的访问权限
LoveAI
2138 0
赋予RAM子用户访问OSS的某个文件夹的权限策略
小生生
|
文件存储
文件存储管理权限组的规则及操作
本文介绍如何在NAS控制台上管理权限组,包括创建权限组和规则、查看权限组列表、查看规则列表、删除权限组、删除规则等。
小生生
831 0
jan1990
升级用户创建
--1. 创建源库迁移临时用户 CREATE USER migups IDENTIFIED BY &pwDEFAULT TABLESPACE usersTEMPORARY TABLESPACE tempQUOTA UNLIMITED ON users; GRANT dba TO migups;GRANT select ON sys.
jan1990
1011 0
pandamonica
为新创建的用户提供SAP_ALL权限
pandamonica
1256 0
honeymoose
|
缓存 数据库
Confluence 6 从外部目录中同步数据支持的目录类型
针对一些特定的用户目录类型,Confluence 在系统的数据库中保存了目录的缓存信息(用户和用户组),这样能够让系统更快速的访问用户和用户组数据。
honeymoose
997 0