背景
作为云参与者,了解云账号体系是第一步,只有了解才能用对,用对云账号是云采用的基础。很多企业由于初期云账号体系没有设计好,产生了大账号、隔离性不足、身份权限等风险,导致后期不得不投入大量资源做重构。因此企业云账号负责人需要充分了解云账号体系并面向未来做好账号体系设计。
本文只讲阿里云账号体系,实际其他云账号体系大多类似,但实现方式、设计理念、命名不同。
你是否听到过这些名词:主账号、子账号、阿里云账号、子用户、Ram用户、Ram角色、多账号、单账号、成员账号、资源账号、云账号、管理账号、MA(Master Account)、UID。他们分别是什么?有什么关系?专业标准的名称应该是什么?
正文
首先对所有账号称呼做一个分类合并,并给出推荐名称。
推荐称呼 |
其他称呼 |
说明 |
云账号/主账号 |
主账号、阿里云账号、UID、单账号 |
阿里云上一个拥有唯一UID的账号,类似于我们在淘宝上的一个账号,只是云账号可以通过多种不同渠道注册、创建,而且由于是toB业务,因此支持一些结构化的账号架构和管理能力。 |
Ram User |
Ram用户、子用户、子账号 |
在一个“云账号”中创建的用于承载不同身份权限的子账号,推荐称呼是Ram User。 |
Ram Role |
Ram角色、角色、Role |
在一个“云账号”中创建的用于承载不同身份权限后被用于角色扮演场景的身份。并不是一个实体账号。仅是一个角色,就像:架构师、研发、CTO。 |
单账号架构 |
单账号架构中包含:
|
|
多账号架构 |
多账号架构中包含:
|
并不是一个具体的账号,而是通过阿里云资源目录RD(Resource Directory)实现的一种多个云账号统一管控方式的称呼:多账号架构。 |
其他用户/账号 |
账号、用户、角色 |
其他PaaS或SaaS产品中自己设计的仅限于本产品内部使用的账号体系,比如大数据和AI类云产品。 |
所以,排除少部分云产品自建账号体系外,本质上阿里云账号就2种:云账号和Ram User。其他更多概念基本上都是基于此演变出来用于满足企业级不同管理场景的云上产品能力。
单账号
单账号是一种企业使用阿里云的方式,也是截止到2025年在企业中最常见的方式。即企业采用一个云账号购买并使用云资源。单账号相比阿里云多账号统一管理架构来讲的。
企业不同部门分别采用了多个云账号购买并使用云资源,也是单账号用云模式。即便是交给了同一个运维人员分别登录做一些管理操作,也是单账号模式。后面讲了多账号就知道为什么了。
Ram User
由于企业中会有不同职能人员需要登录到阿里云上做不同的操作(比如:财务、运维、开发、安全等),因此需要做身份权限的划分和隔离。阿里云提供的方式就是通过Ram User解决。为不同职能的人员分别创建Ram User,并为这个Ram User授予不同的云产品权限,职能人员就可以通过Ram User的用户名和密码登录到阿里云进行已授权的操作。
这里一定要注意:Ram User所购买的所有资源和配置都是对云账号的操作,而不是在Ram User上,比如购买了1台Ecs、为某台Ecs打了标签。其他拥有这台Ecs权限的Ram User和云账号都可以看到并修改。Ram User本身并不承载任何的云资源,Ram User仅仅是拥有这个云账号中某些权限的一个身份,这就像我们入职一家公司,公司给了我们一个工号(Ram User),我们申请了一个代码库的权限(Ram User上的权限)并编写代码,代码是公司(云账号)的,另外一个入职有权限的员工同样可以编辑公司(云账号中的)的代码。这是跟很多前线和客户沟通过程中发现最容易误解和混淆的地方。
Ram Role
跟Ram User类似,也是在云账号中拥有某些权限的一个身份,但Ram Role并不像Ram User是一个实体身份,Ram Role只是一个角色,可以理解为是虚拟的,无法单独登录使用,只能被某个实体身份扮演才能进行操作,Ram Role常见的使用场景:
- 【跨账号访问】云账号A中的Ram User扮演云账号B中的Ram Role对云账号B中的资源进行操作,以实现跨云账号的云资源访问
- 【单点登录】企业钉钉与阿里云打通单点登录后,钉钉中的企业员工扮演某个Ram Role访问云上的资源
- 【Open API临时秘钥】应用程序调用Open API场景中,为了秘钥安全,某个可信的Agent调用云服务STS的Open API获取一个临时秘钥给应用程序使用,获取临时秘钥的时候就需要指定获取哪个Ram Role的临时秘钥
- 【云产品相互访问】比如ECS要访问VPC中的客户资源,即便是这两个都是阿里云自己的云产品,但在没有客户授权前ECS是没有权限操作的,这个时候客户授权后就是通过一种特殊的Ram Role来允许ECS扮演客户授权的Ram Role来访问VPC中的资源的
如果没有遇到以上需求,通常大部分同学是不太会接触到Ram Role的。
多账号
通常指阿里云上的多账号架构,多账号统一管控架构,这也是最容易混淆的知识点。
云上多账号通常指:通过阿里云免费的云服务资源目录(Resource Directory(简称RD))对云上多个独立的云账号进行统一纳管的云上账号架构。主要适用的企业是在云上不同业务需要部署在不同的云账号中进行隔离,同时中心团队又要对多个云账号中的资源进行统一管控、对多个云账号的费用进行统一管理等操作。
在多账号架构中所有账号都是一个独立的云账号(有阿里云UID的,不是Ram User ID),在多账号架构中不同云账号有自己独特的名称:
- 管理账号(Master Account):开通RD并管理企业整个多账号架构的云账号,具备组织中所有账号的最高权限,因此并不会日常购买资源,而是仅用于组织账号管理、开票付款等高权限操作
- 资源账号:用于提供给不同业务团队购买不同云资源的云账号,无论是管理账号新创建还是存量账号纳管到多账号架构中,资源账号都被取消了云账号ROOT登录权限的(没有云账号的登录密码,无法通过官网主账号登录页面登录),要想登录必须有管理账号给企业员工分配新的登录身份,企业管理员通常是将钉钉/企微/AD等企业身份系统与阿里云通过单点登录打通后,让企业员工免密登录到阿里云并分配指定权限,还有一种不推荐的方法是管理员在资源账号中一个Ram User并将用户名密码给员工使用,因为员工会直接持有Ram User密码,因此不推荐使用
- 管控账号:也是受管理账号统一管控的资源账号,但这类账号是用于辅助管理账号统一管理企业中横向的资源账号的,因此叫做管控账号,比如对企业所有资源账号中的日志做统一收集做审计合规、统一管理企业安全能力、统一规划企业网络等。多账号架构中通常会根据企业需要创建多个管控账号
在多账号架构中,由于每个账号本质上都是一个独立的云账号,因此每个账号中都可以创建自己的Ram User/Role,且每个账号中所有云资源和配置默认都是100%完全隔离的,这是跟Ram User最容易理解的区别,也是为什么企业在云上规模变时需要采用多账号架构来满足企业级隔离和统一管控需求。
这个图是一个典型的云上多账号架构,所有橙色的都是一个独立的云账号,只是在多账号架构中承担不同角色,因此有了不同的新名字:管理账号、资源账号、管控账号。蓝色的是用于区分和组织多账号的资源夹,就像我们电脑中的文件夹,用于将企业在云上的业务结构化的管理起来。在图中我们会发现每个橙色的账号中都可以有自己完全独立且隔离的Ram User、资源组、标签、资源。
一开始为什么讲:“云上多账号通常指:通过阿里云免费的云服务资源目录(Resource Directory(简称RD))对云上多个独立的云账号进行统一纳管的云上账号架构”。是因为除了RD外,费用中心的企业组织管理中也有一个多账号架构(简称EA),且这个多账号也是管理的云账号(UID)。这就意味着同一家企业在云上会存在两个账号树。这两个区别是什么呢?
资源目录:全面的云上多账号管理服务,包含云上多账号架构中的资源、身份权限、财务、网络、安全、合规审计、运维等。当然资源目录中的财务能力底层也是调用的费用中心企业财务的接口。
费用中心:专注于解决企业多账号的财务相关问题,包含多账号架构下的付款、分账、开票、资金划拨等。官网
其他云上账号
云上除了云账号、Ram User外,还存在其他的账号体系,通常是一些PaaS、SaaS类的云产品中完全自主独立设计的一套账号体系,比如:大数据类产品、大模型类产品。其中有部分云产品会将自己产品内部的账户体系跟阿里云标准的Ram User/Role做一定的打通,不同产品打通的深度不同,以实际产品为准。
总结
好了,到这里相信大家对云上的账号体系已经有了最关键的理解,企业实际账号使用过程中还会有很多场景化的用法,比如基于资源目录的多账号架构如何搭建,解决什么问题,适用于什么场景,这些问题后面单独讲。
