一、多賬號架構設計

使用阿里云資源目錄RD，就像在一個大倉庫中整理和分類存放物品一樣，為了幫助我們建立一個清晰的云資源層級結構，基于資源目錄可以方便地管理和查找所有的云資源，提高資源的利用率和安全性，并簡化管理工作，讓我們更輕松地掌控和管理云上的各項資源。

根據阿里云最佳實踐、當前公司的實際情況和未來的可擴展情況，資源目錄配置建議采用以下架構進行配置：

圖片

賬號類型說明

• 企業(yè)管理賬號：（Master Account，簡稱MA）作為多賬號體系的根賬號存在，負責對整體組織進行管理。承擔以下職責：

開通和管理資源目錄。

創(chuàng)建和組織其他賬號。

擁有企業(yè)所有賬號的管理員權限。

可以管理所有資源的賬單和支付相關的財務信息。

• 日志賬號：（Logging Account）用于聚合與審計日志的賬號。承擔以下職責：

聚合及保存所有日志方便進行統(tǒng)一的查看與審計。

使用者為安全團隊。

• 應用賬號：（Application Account）作為一般的業(yè)務賬號用于部署應用。承擔以下職責：

在權限范圍內根據業(yè)務需求開通并管理各類云資源例如ECS、RDS、OSS、SLB、ACK等。

資源夾說明

資源夾類似于文件夾，用于組織和管理云上的資源。在阿里云資源目錄中，資源夾是用來管理多個賬號下的所有資源實例的概念。

二、資源目錄配置

1、使用企業(yè)管理賬號，在資源管理-資源目錄-概覽處開通資源目錄。

圖片

開通資源目錄后，系統(tǒng)會為您創(chuàng)建一個Root資源夾，并將當前的登錄賬號設置為管理賬號。

圖片

2、按下表要求新建資源夾，點擊“創(chuàng)建資源夾”按鈕，在右側彈出界面中輸入要創(chuàng)建的文件夾名稱，點擊確認按鈕完成資源夾的創(chuàng)建。

圖片

三、邀請成員

1、在資源管理-資源目錄-邀請成員處，點擊“邀請成員”按鈕，在右側彈出界面中，填寫應用主賬號的UID，“歸屬資源夾”選擇“Project”,勾選“我已了解此風險”，點擊“確定”按鈕。

圖片

2、使用應用賬號（被邀請的賬號），在資源管理-資源目錄-概覽處，點擊“查看邀請”，在操作列單擊“處理邀請”。在處理邀請對話框，仔細閱讀邀請信息，然后選中風險提示框，最后單擊“接受邀請”。被邀請方成功加入資源目錄后，可以在資源目錄的設置頁面，查看到資源目錄相關信息。

3、在資源管理-資源目錄-概覽處，選擇“成員列表”，可以看到已接受邀請的賬號。

圖片

四、新建日志賬號

1、使用企業(yè)管理賬號，在資源管理-資源目錄-創(chuàng)建成員處，點擊“創(chuàng)建成員”按鈕，按日志賬號命名規(guī)范，在“創(chuàng)建成員”界面填寫“阿里云賬號名稱”和“顯示名稱”。

因財務托管目前支持阿里云直客與Reseller伙伴關聯(lián)客戶,我們賬號的客戶身份暫不支持開通財務托管，所以無法選擇使用管理賬號為新成員付款。

圖片

選擇第二種“使用已有成員為新成員付款”，提示“Trusteeship is only available for alibaba directselling accounts and alibaba channel partner (except Agency) enduser.”，與阿里云聯(lián)系后知道當前賬號做財務關聯(lián)，只能使用財務管理的模式，不能使用財務托管。

圖片

所以，這里我們選擇“新成員自主付款”，完成上述配置后點擊“確定”按鈕。

圖片

2、創(chuàng)建賬號默認會放到Root資源夾下，在資源管理-資源目錄-概覽處，選擇成員列表，找到剛創(chuàng)建的日志賬號，點擊右邊的移動按鈕。

圖片

選擇Root-Core-Management資源夾，點擊“確定”按鈕。

圖片

如下圖所示，日志賬號已移動到root/Core/Management目錄下。

圖片

3、通過管理賬號的RAM用戶扮演成員RAM角色的方式登錄日志賬號的阿里云控制臺。給需要登錄日志賬號的ram賬號，至少授予以下權限：

• AliyunSTSAssumeRoleAccess：調用STS服務AssumeRole接口的權限。
• AliyunResourceDirectoryFullAccess：管理資源目錄服務（ResourceDirectory）的權限。

說明

如果該RAM用戶用作管理員，您也可以直接授予AdministratorAccess權限。

登錄該RAM賬號，在資源管理-資源目錄-概覽處，選擇“成員列表”選項卡，找到剛創(chuàng)建的日志賬號，點擊該賬號右側的“登錄賬號”按鈕，登錄日志賬號進行日志和審計相關配置。

圖片

五、日志賬號配置財務關聯(lián)

5.1 邀請日志賬號歸屬

使用企業(yè)管理賬號的主賬號，點擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接，邀請日志賬號歸屬。

圖片

5.2 資源賬號轉為云賬號

第一步、為資源賬號設置安全手機號碼

用企業(yè)管理賬號，點擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺。在左側導航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號，單擊目標資源賬號操作列的綁定安全手機。

圖片

在綁定安全手機對話框，輸入安全手機號碼，然后獲取并輸入驗證碼。單擊確定。

圖片

第二步、為資源賬號設置安全郵箱

用企業(yè)管理賬號，點擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺。在左側導航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號，單擊目標成員顯示名稱。

圖片

在成員詳情面板，單擊成員賬號名稱旁邊的修改。

圖片

在修改賬號郵箱對話框，輸入新的電子郵箱地址，然后單擊確定。系統(tǒng)會自動向您設置的電子郵箱發(fā)送驗證郵件，您需要在24小時之內進行確認。未確認之前，您可以重發(fā)驗證郵件或者取消本次修改。登錄對應的電子郵箱，進行修改確認。確認后，該成員的賬號名稱和安全郵箱將會被同時修改。

圖片

第三步、資源賬號切換為云賬號

用企業(yè)管理賬號，點擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺。在左側導航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號，單擊目標成員操作列的切換為云賬號。

圖片

在切換為云賬號對話框，閱讀風險提示并選中風險提示框，然后單擊確定。

圖片

第四步、云賬號找回密碼點擊https://passport.aliyun.com/ac/pc/password_find_v_2.htm?fromSite=6&appName=aliyun&lang=zh_CN##returnUrl##此鏈接，輸入剛綁定的手機號或郵箱找回密碼。

圖片

5.3 接受歸屬

找回密碼后，點擊此鏈接https://account.aliyun.com/login/login.htm登錄日志賬號的主賬號。

圖片

點擊https://usercenter2.aliyun.com/finance/link-account/list此鏈接,選擇待確認的關聯(lián)邀請，點擊“立即處理”按鈕。

圖片

點擊“同意加入”，完成企業(yè)歸屬。

圖片

5.4 配置財務關聯(lián)

第一步、賬號移動

使用企業(yè)管理賬號的主賬號，點擊https://ea.console.aliyun.com/account-manage/此鏈接，登錄企業(yè)賬號中心控制臺，選擇左側導航欄中的“組織與賬號”，在組織目錄右側的列表頁，選擇要操作的日志賬號，點擊“移動”。

圖片

移動到指定組織節(jié)點，然后點擊“確認移動”。

圖片

第二步、賬號授權及結算策略

使用企業(yè)管理賬號，點擊https://ea.console.aliyun.com/account-manage/此鏈接，登錄企業(yè)賬號中心控制臺，選擇左側導航欄中的“組織與賬號”，在組織目錄右側的列表頁，選擇要操作的日志賬號，點擊“詳情”進入。

圖片

在“高級配置”中找到“賬號角色”，選擇“基礎賬號成員”?！柏攧战Y算策略”，點擊”修改“，在彈框中選擇“財務管理后，點擊確定。

圖片

第三步、共享信控

若結算策略為“財務管理”，則使用企業(yè)管理賬號，點擊https://usercenter2.aliyun.com/finance/union-account/overview此鏈接，設置日志賬號的所需額度。

圖片

5.5 云賬號轉為資源賬號

用企業(yè)管理賬號，點擊此鏈接https://resourcemanager.console.aliyun.com/resource-directory/folders/，登錄資源管理控制臺。在左側導航欄，選擇資源目錄 > 概覽。單擊資源組織頁簽。找到日志賬號，單擊目標成員操作列的切換為資源賬號。

圖片

6.跨賬號資源搜索

完成資源目錄搭建企業(yè)的多賬號體系結構后，使用企業(yè)管理賬號，在資源管理-資源中心-跨賬號資源搜索處，點擊“開始使用”按鈕，開通跨賬號資源搜索。

圖片

選擇要查看的賬號或賬號下的資源組，即可看到對應的所有資源。

圖片

支持自定義SQL語句去做資源查詢，無需再通過阿里云OpenAPI的方式編寫代碼去批量查詢所需信息。通過保存使用頻率較高的SQL，并提供一鍵查詢功能，可以提高便利性和降低使用SQL的門檻。

圖片

7.更多應用場景

資源目錄管控策略

資源目錄管控策略是一種基于資源結構（資源夾或成員）的訪問控制策略，可以統(tǒng)一管理資源目錄各層級內資源訪問的權限邊界，建立企業(yè)整體訪問控制原則或局部專用原則。管控策略只定義權限邊界，并不真正授予權限，您還需要在某個成員中使用訪問控制（RAM）設置權限后，相應身份才具備對資源的訪問權限。

圖片

使用資源目錄和共享VPC實現多賬號網絡互通

企業(yè)可以采用云企業(yè)網CEN（Cloud Enterprise Network）將多個賬號間的專有網絡VPC（Virtual Private Cloud）進行連接，以實現多賬號間的網絡互通。但隨著業(yè)務復雜度的增加，會面臨如下的新問題，比如說：分散配置導致無法進行網絡集中運維、重復網絡資源配置導致成本增加、VPC數量增多導致網絡復雜度提升等等。為了避免上述問題，企業(yè)可以使用資源目錄RD（Resource Directory）將多賬號有序組織和管理，然后通過共享VPC快速實現多賬號間的網絡互通。

圖片

使用云SSO統(tǒng)一管理企業(yè)多賬號的身份和權限

云SSO提供基于阿里云資源目錄RD（Resource Directory）的多賬號統(tǒng)一身份管理與訪問控制。云SSO管理員可以創(chuàng)建多個云SSO用戶，統(tǒng)一配置云SSO用戶對RD內任意成員的訪問權限（訪問配置）。當云SSO用戶登錄用戶門戶時，可以查看自己有權限訪問的RD成員列表，以及在每個RD成員中擁有的訪問權限（訪問配置），然后以訪問配置中的權限訪問RD成員中對應資源。