企業(yè)阿里云多賬號(hào)統(tǒng)一管理實(shí)踐（阿里云注冊(cè)多個(gè)賬號(hào)）

1.多賬號(hào)架構(gòu)設(shè)計(jì)

使用阿里云資源目錄RD，就像在一個(gè)大倉庫中整理和分類存放物品一樣，為了幫助我們建立一個(gè)清晰的云資源層級(jí)結(jié)構(gòu)，基于資源目錄可以方便地管理和查找所有的云資源，提高資源的利用率和安全性，并簡化管理工作，讓我們更輕松地掌控和管理云上的各項(xiàng)資源。

根據(jù)阿里云最佳實(shí)踐、當(dāng)前公司的實(shí)際情況和未來的可擴(kuò)展情況，資源目錄配置建議采用以下架構(gòu)進(jìn)行配置：

賬號(hào)類型說明

• 企業(yè)管理賬號(hào)：（Master Account，簡稱MA）作為多賬號(hào)體系的根賬號(hào)存在，負(fù)責(zé)對(duì)整體組織進(jìn)行管理。承擔(dān)以下職責(zé)：
• 開通和管理資源目錄。
• 創(chuàng)建和組織其他賬號(hào)。
• 擁有企業(yè)所有賬號(hào)的管理員權(quán)限。
• 可以管理所有資源的賬單和支付相關(guān)的財(cái)務(wù)信息。
• 日志賬號(hào)：（Logging Account）用于聚合與審計(jì)日志的賬號(hào)。承擔(dān)以下職責(zé)：
• 聚合及保存所有日志方便進(jìn)行統(tǒng)一的查看與審計(jì)。
• 使用者為安全團(tuán)隊(duì)。
• 應(yīng)用賬號(hào)：（Application Account）作為一般的業(yè)務(wù)賬號(hào)用于部署應(yīng)用。承擔(dān)以下職責(zé)：
• 在權(quán)限范圍內(nèi)根據(jù)業(yè)務(wù)需求開通并管理各類云資源例如ECS、RDS、OSS、SLB、ACK等。

資源夾說明

資源夾類似于文件夾，用于組織和管理云上的資源。在阿里云資源目錄中，資源夾是用來管理多個(gè)賬號(hào)下的所有資源實(shí)例的概念。

2.資源目錄配置

1、使用企業(yè)管理賬號(hào)，在資源管理-資源目錄-概覽處開通資源目錄

開通資源目錄后，系統(tǒng)會(huì)為您創(chuàng)建一個(gè)root資源夾，并將當(dāng)前的登錄賬號(hào)設(shè)置為管理賬號(hào)。

2、按下表要求新建資源夾，點(diǎn)擊“創(chuàng)建資源夾”按鈕，在右側(cè)彈出界面中輸入要?jiǎng)?chuàng)建的文件夾名稱，點(diǎn)擊確認(rèn)按鈕完成資源夾的創(chuàng)建。

3.邀請(qǐng)成員

1、在資源管理-資源目錄-邀請(qǐng)成員處，點(diǎn)擊“邀請(qǐng)成員”按鈕，在右側(cè)彈出界面中，填寫應(yīng)用主賬號(hào)的UID，“歸屬資源夾”選擇“Project”,勾選“我已了解此風(fēng)險(xiǎn)”，點(diǎn)擊“確定”按鈕。

2、使用應(yīng)用賬號(hào)（被邀請(qǐng)的賬號(hào)），在資源管理-資源目錄-概覽處，點(diǎn)擊“查看邀請(qǐng)”，在操作列單擊“處理邀請(qǐng)”。在處理邀請(qǐng)對(duì)話框，仔細(xì)閱讀邀請(qǐng)信息，然后選中風(fēng)險(xiǎn)提示框，最后單擊“接受邀請(qǐng)”。被邀請(qǐng)方成功加入資源目錄后，可以在資源目錄的設(shè)置頁面，查看到資源目錄相關(guān)信息。

3、在資源管理-資源目錄-概覽處，選擇“成員列表”，可以看到已接受邀請(qǐng)的賬號(hào)。

4.新建日志賬號(hào)

1、使用企業(yè)管理賬號(hào)，在資源管理-資源目錄-創(chuàng)建成員處，點(diǎn)擊“創(chuàng)建成員”按鈕，按日志賬號(hào)命名規(guī)范，在“創(chuàng)建成員”界面填寫“阿里云賬號(hào)名稱”和“顯示名稱”。

因財(cái)務(wù)托管目前支持阿里云直客與Reseller伙伴關(guān)聯(lián)客戶,我們賬號(hào)的客戶身份暫不支持開通財(cái)務(wù)托管，所以無法選擇使用管理賬號(hào)為新成員付款。

選擇第二種“使用已有成員為新成員付款”，提示“Trusteeship is only available for alibaba directselling accounts and alibaba channel partner (except Agency) enduser.”，與阿里云聯(lián)系后知道當(dāng)前賬號(hào)做財(cái)務(wù)關(guān)聯(lián)，只能使用財(cái)務(wù)管理的模式，不能使用財(cái)務(wù)托管。

所以，這里我們選擇“新成員自主付款”，完成上述配置后點(diǎn)擊“確定”按鈕。

2、創(chuàng)建賬號(hào)默認(rèn)會(huì)放到Root資源夾下，在資源管理-資源目錄-概覽處，選擇成員列表，找到剛創(chuàng)建的日志賬號(hào)，點(diǎn)擊右邊的移動(dòng)按鈕。

選擇Root-Core-Management資源夾，點(diǎn)擊“確定”按鈕。

如下圖所示，日志賬號(hào)已移動(dòng)到root/Core/Management目錄下。

3、通過管理賬號(hào)的RAM用戶扮演成員RAM角色的方式登錄日志賬號(hào)的阿里云控制臺(tái)。給需要登錄日志賬號(hào)的ram賬號(hào)，至少授予以下權(quán)限：

• AliyunSTSAssumeRoleAccess：調(diào)用STS服務(wù)AssumeRole接口的權(quán)限。
• AliyunResourceDirectoryFullAccess：管理資源目錄服務(wù)（ResourceDirectory）的權(quán)限。

說明

如果該RAM用戶用作管理員，您也可以直接授予AdministratorAccess權(quán)限。

登錄該RAM賬號(hào)，在資源管理-資源目錄-概覽處，選擇“成員列表”選項(xiàng)卡，找到剛創(chuàng)建的日志賬號(hào)，點(diǎn)擊該賬號(hào)右側(cè)的“登錄賬號(hào)”按鈕，登錄日志賬號(hào)進(jìn)行日志和審計(jì)相關(guān)配置。

5.日志賬號(hào)配置財(cái)務(wù)關(guān)聯(lián)

5.1邀請(qǐng)日志賬號(hào)歸屬

使用企業(yè)管理賬號(hào)的主賬號(hào)，點(diǎn)擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接，邀請(qǐng)日志賬號(hào)歸屬。

5.2資源賬號(hào)轉(zhuǎn)為云賬號(hào)

第一步、為資源賬號(hào)設(shè)置安全手機(jī)號(hào)碼

用企業(yè)管理賬號(hào)，點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺(tái)。在左側(cè)導(dǎo)航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號(hào)，單擊目標(biāo)資源賬號(hào)操作列的綁定安全手機(jī)。

在綁定安全手機(jī)對(duì)話框，輸入安全手機(jī)號(hào)碼，然后獲取并輸入驗(yàn)證碼。單擊確定。

第二步、為資源賬號(hào)設(shè)置安全郵箱

用企業(yè)管理賬號(hào)，點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺(tái)。在左側(cè)導(dǎo)航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號(hào)，單擊目標(biāo)成員顯示名稱。

在成員詳情面板，單擊成員賬號(hào)名稱旁邊的修改。

在修改賬號(hào)郵箱對(duì)話框，輸入新的電子郵箱地址，然后單擊確定。系統(tǒng)會(huì)自動(dòng)向您設(shè)置的電子郵箱發(fā)送驗(yàn)證郵件，您需要在24小時(shí)之內(nèi)進(jìn)行確認(rèn)。未確認(rèn)之前，您可以重發(fā)驗(yàn)證郵件或者取消本次修改。登錄對(duì)應(yīng)的電子郵箱，進(jìn)行修改確認(rèn)。確認(rèn)后，該成員的賬號(hào)名稱和安全郵箱將會(huì)被同時(shí)修改。

第三步、資源賬號(hào)切換為云賬號(hào)

用企業(yè)管理賬號(hào)，點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺(tái)。在左側(cè)導(dǎo)航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號(hào)，單擊目標(biāo)成員操作列的切換為云賬號(hào)。

在切換為云賬號(hào)對(duì)話框，閱讀風(fēng)險(xiǎn)提示并選中風(fēng)險(xiǎn)提示框，然后單擊確定。

第四步、云賬號(hào)找回密碼點(diǎn)擊https://passport.aliyun.com/ac/pc/password_find_v_2.htm?fromSite=6&appName=aliyun&lang=zh_CN##returnUrl##此鏈接，輸入剛綁定的手機(jī)號(hào)或郵箱找回密碼。

5.3接受歸屬

找回密碼后，點(diǎn)擊此鏈接https://account.aliyun.com/login/login.htm登錄日志賬號(hào)的主賬號(hào)。

點(diǎn)擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接,選擇待確認(rèn)的關(guān)聯(lián)邀請(qǐng)，點(diǎn)擊“立即處理”按鈕。

點(diǎn)擊“同意加入”，完成企業(yè)歸屬。

5.4配置財(cái)務(wù)關(guān)聯(lián)

第一步、賬號(hào)移動(dòng)

使用企業(yè)管理賬號(hào)的主賬號(hào)，點(diǎn)擊https://ea.console.aliyun.com/account-manage/此鏈接，登錄企業(yè)賬號(hào)中心控制臺(tái)，選擇左側(cè)導(dǎo)航欄中的“組織與賬號(hào)”，在組織目錄右側(cè)的列表頁，選擇要操作的日志賬號(hào)，點(diǎn)擊“移動(dòng)”。

移動(dòng)到指定組織節(jié)點(diǎn)，然后點(diǎn)擊“確認(rèn)移動(dòng)”。

第二步、賬號(hào)授權(quán)及結(jié)算策略

使用企業(yè)管理賬號(hào)，點(diǎn)擊https://ea.console.aliyun.com/account-manage/此鏈接，登錄企業(yè)賬號(hào)中心控制臺(tái)，選擇左側(cè)導(dǎo)航欄中的“組織與賬號(hào)”，在組織目錄右側(cè)的列表頁，選擇要操作的日志賬號(hào)，點(diǎn)擊“詳情”進(jìn)入。

在“高級(jí)配置”中找到“賬號(hào)角色”，選擇“基礎(chǔ)賬號(hào)成員”?！柏?cái)務(wù)結(jié)算策略”，點(diǎn)擊”修改“，在彈框中選擇“財(cái)務(wù)管理后，點(diǎn)擊確定。

第三步、共享信控

若結(jié)算策略為“財(cái)務(wù)管理”，則使用企業(yè)管理賬號(hào)，點(diǎn)擊https://usercenter2.aliyun.com/finance/union-account/overview此鏈接，設(shè)置日志賬號(hào)的所需額度。

5.5云賬號(hào)轉(zhuǎn)為資源賬號(hào)

用企業(yè)管理賬號(hào)，點(diǎn)擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺(tái)。在左側(cè)導(dǎo)航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號(hào)，單擊目標(biāo)成員操作列的切換為資源賬號(hào)。

6.跨賬號(hào)資源搜索

完成資源目錄搭建企業(yè)的多賬號(hào)體系結(jié)構(gòu)后，使用企業(yè)管理賬號(hào)，在資源管理-資源中心-跨賬號(hào)資源搜索處，點(diǎn)擊“開始使用”按鈕，開通跨賬號(hào)資源搜索。

選擇要查看的賬號(hào)或賬號(hào)下的資源組，即可看到對(duì)應(yīng)的所有資源。

支持自定義SQL語句去做資源查詢，無需再通過阿里云OpenAPI的方式編寫代碼去批量查詢所需信息。通過保存使用頻率較高的SQL，并提供一鍵查詢功能，可以提高便利性和降低使用SQL的門檻。

7.更多應(yīng)用場景

資源目錄管控策略

資源目錄管控策略是一種基于資源結(jié)構(gòu)（資源夾或成員）的訪問控制策略，可以統(tǒng)一管理資源目錄各層級(jí)內(nèi)資源訪問的權(quán)限邊界，建立企業(yè)整體訪問控制原則或局部專用原則。管控策略只定義權(quán)限邊界，并不真正授予權(quán)限，您還需要在某個(gè)成員中使用訪問控制（RAM）設(shè)置權(quán)限后，相應(yīng)身份才具備對(duì)資源的訪問權(quán)限。

使用資源目錄和共享VPC實(shí)現(xiàn)多賬號(hào)網(wǎng)絡(luò)互通

企業(yè)可以采用云企業(yè)網(wǎng)CEN（Cloud Enterprise Network）將多個(gè)賬號(hào)間的專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）進(jìn)行連接，以實(shí)現(xiàn)多賬號(hào)間的網(wǎng)絡(luò)互通。但隨著業(yè)務(wù)復(fù)雜度的增加，會(huì)面臨如下的新問題，比如說：分散配置導(dǎo)致無法進(jìn)行網(wǎng)絡(luò)集中運(yùn)維、重復(fù)網(wǎng)絡(luò)資源配置導(dǎo)致成本增加、VPC數(shù)量增多導(dǎo)致網(wǎng)絡(luò)復(fù)雜度提升等等。為了避免上述問題，企業(yè)可以使用資源目錄RD（Resource Directory）將多賬號(hào)有序組織和管理，然后通過共享VPC快速實(shí)現(xiàn)多賬號(hào)間的網(wǎng)絡(luò)互通。

使用云SSO統(tǒng)一管理企業(yè)多賬號(hào)的身份和權(quán)限

云SSO提供基于阿里云資源目錄RD（Resource Directory）的多賬號(hào)統(tǒng)一身份管理與訪問控制。云SSO管理員可以創(chuàng)建多個(gè)云SSO用戶，統(tǒng)一配置云SSO用戶對(duì)RD內(nèi)任意成員的訪問權(quán)限（訪問配置）。當(dāng)云SSO用戶登錄用戶門戶時(shí)，可以查看自己有權(quán)限訪問的RD成員列表，以及在每個(gè)RD成員中擁有的訪問權(quán)限（訪問配置），然后以訪問配置中的權(quán)限訪問RD成員中對(duì)應(yīng)資源。