本文介紹了管理成員過程中可能會遇到的常見問題。
成員基本操作
管理賬號、成員、資源賬號、云賬號、根用戶、RAM用戶之間的區別是什么?
管理賬號
管理賬號(Management Account,簡稱MA)是一個經過企業實名認證的阿里云賬號。您可以使用管理賬號開通資源目錄,開通后,管理賬號就是資源目錄的超級管理員,對資源目錄、資源夾和成員擁有完全控制權限。每個資源目錄有且只有一個管理賬號。
成員
成員是通過資源目錄創建出來的資源賬號,該資源賬號用于承載您在阿里云上的某個項目或應用。 如果您已經注冊了阿里云賬號,您也可以通過邀請的方式將該阿里云賬號加入到資源目錄,即成為云賬號類型的成員。具體如下:
資源賬號
在資源目錄中創建的成員默認為資源賬號。資源賬號禁用了root(root是阿里云賬號的Administrator,所以也稱為根賬號或主賬號)登錄權限,具有更高的安全性。關于創建資源賬號的具體操作,請參見創建成員。
云賬號
通過邀請方式加入到資源目錄的阿里云賬號稱為云賬號。云賬號具有root登錄權限。關于邀請阿里云賬號的具體操作,請參見邀請阿里云賬號加入資源目錄。
根用戶
阿里云賬號的主賬號身份稱為根用戶(root用戶或根賬號),可以使用主賬號的用戶名和密碼直接登錄阿里云,對該阿里云賬號下的資源具有完全管理權限。
為了確保賬號安全,避免與其他用戶共享根用戶的登錄密碼或訪問密鑰,建議您為管理賬號或成員創建一個RAM用戶并授予一定的權限,使用該RAM用戶執行相關的操作。
RAM用戶
RAM用戶是訪問控制(RAM)的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。您可以在阿里云主賬號下創建不同的RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。
成員如何登錄阿里云控制臺?
登錄方式 | 描述 | 適用對象 | 相關文檔 |
通過管理賬號的RAM用戶扮演成員RAM角色的方式登錄阿里云控制臺 | 資源目錄RD(Resource Directory)會自動為所有成員創建RAM角色(ResourceDirectoryAccountAccessRole),并將該角色的可信實體設置為資源目錄的管理賬號,這使得管理賬號擁有對所有成員進行角色扮演并訪問的權限。管理賬號可以在自己的賬號下創建一個RAM用戶,并為RAM用戶賦予管理員權限。就可以通過該RAM用戶扮演成員RAM角色(ResourceDirectoryAccountAccessRole)的方式登錄到成員的控制臺。 |
| |
通過成員的RAM用戶登錄阿里云控制臺 | 管理賬號的RAM用戶登錄到成員控制臺后,可以為成員創建RAM用戶并授權,然后就可以通過成員的RAM用戶直接登錄控制臺。 | ||
通過成員的根用戶登錄阿里云控制臺(不推薦) | 對于云賬號類型的成員,您可以使用阿里云賬號(根用戶)的用戶名和登錄密碼直接登錄控制臺。 | 從外部邀請加入資源目錄的阿里云賬號,即云賬號類型的成員。 | |
通過云SSO用戶登錄阿里云控制臺 | 云SSO提供基于阿里云資源目錄的多賬號統一身份管理與訪問控制。當您開通了云SSO并在RD賬號上完成了授權,云SSO用戶就可以登錄云SSO用戶門戶,按照訪問配置中的權限訪問RD賬號中對應的資源。 | 云SSO用戶 |
如何通過成員的根用戶登錄控制臺?
為安全起見,強烈建議您通過RAM用戶或RAM角色登錄控制臺,不建議通過根用戶登錄。
成員的根用戶是指成員的阿里云賬號(主賬號)身份。根據成員的不同類型,分為以下兩種情況:
云賬號類型的成員:該類成員一般是通過邀請的方式加入到資源目錄,本身就是阿里云賬號。您可以直接使用阿里云賬號的用戶名和密碼登錄控制臺。具體操作,請參見通過根用戶登錄阿里云控制臺。
資源賬號類型的成員:該類成員是在資源目錄中直接創建的成員,本身沒有根用戶,您需要通過RAM用戶或RAM角色登錄控制臺。如果某些特殊場景,您必須通過根用戶登錄,則您可以將成員的類型由資源賬號切換為云賬號。具體操作如下:
為資源賬號綁定安全手機號碼或修改資源賬號的安全郵箱。
具體操作,請參見管理資源賬號的安全手機號碼或修改成員的賬號名稱(安全郵箱)。
將資源賬號切換為云賬號。
具體操作,請參見資源賬號切換為云賬號。
為云賬號找回登錄密碼。
您可以通過密碼找回功能找回登錄密碼。更多信息,請參見忘記會員名或登錄密碼,怎么辦?。
通過云賬號的用戶名和密碼登錄控制臺。
具體操作,請參見通過根用戶登錄阿里云控制臺。
啟用根用戶后將會增加賬號安全風險,請謹慎保管根用戶的賬號和密碼,以防泄露。另外,為確保安全,建議您使用完畢后,及時將云賬號切換回資源賬號。具體操作,請參見云賬號切換為資源賬號。
成員如何查看自己所在的資源目錄信息?
成員登錄資源管理控制臺。
在左側導航欄,選擇。
查看成員所在的資源目錄信息和成員基本信息。
在成員信息頁面的所在資源目錄信息區域,查看成員所在的資源目錄的基本信息。
您可以查看資源目錄的ID、資源目錄的創建時間、資源目錄的管理賬號和資源目錄的企業名稱。
在成員信息頁面的成員信息區域,查看當前成員的基本信息。
您可以查看成員所在的目錄位置、成員的RDPath、成員的顯示名和成員加入資源目錄的時間。
刪除成員
如何刪除成員?
具體操作,請參見刪除資源賬號類型的成員。
為什么沒有權限刪除成員?
刪除成員前,必須使用管理賬號根用戶或管理賬號下具有資源目錄管理權限(AliyunResourceDirectoryFullAccess)的RAM用戶、RAM角色開啟成員刪除許可。具體操作,請參見開啟成員刪除許可。
只能使用管理賬號下具有資源目錄管理權限(AliyunResourceDirectoryFullAccess)的RAM用戶、RAM角色刪除成員,不能使用管理賬號的根用戶刪除成員。具體操作,請參見刪除資源賬號類型的成員。
只能刪除資源賬號類型的成員,不能刪除云賬號類型的成員。
允許刪除哪種類型的成員?
僅允許刪除在資源目錄中創建的成員,即資源賬號類型的成員。
對于通過邀請方式加入資源目錄的阿里云賬號,即云賬號類型的成員,您只能將其從資源目錄中移除,但不能在資源目錄中刪除。該類賬號請遵照阿里云賬號刪除流程進行刪除。
成員刪除后能否找回?
成員刪除后,其下的所有資源及數據都會被刪除,您無法再次登錄和使用它。成員一旦刪除,將無法找回,請您謹慎操作。
什么是成員刪除的靜默期?
成員刪除靜默期是一個時間段,指在成員刪除時不能立即執行刪除任務,而需要等待的特殊時間段。成員在刪除時,如果還存在有未全部出賬賬單,成員不可以立即刪除,需要等待賬單全部出賬完成后才可以刪除,這個時間段稱為靜默期。具體如下:
靜默期時間不是固定的,取決于您保有的資源類型情況,最短3小時,最長45天。
在靜默期內,不能新購資源,不能操作相關業務數據和資源實例,不能取消成員刪除任務。
靜默期結束后,自動執行刪除操作,不需要重新提交刪除申請。
要刪除的成員中已經沒有資源了,為什么仍然要靜默期后才能刪除?
雖然成員中的資源已經釋放,但有的資源未生成賬單,需要等待賬單全部出賬,即靜默期后才能刪除。
靜默期后是否需要重新提交刪除申請?
不需要。靜默期結束后,會自動執行刪除操作。
如何查看靜默期的到期時間?
登錄資源目錄控制臺,單擊目標成員操作列的查看刪除進展,查看靜默期的到期時間。
調用GetAccountDeletionStatus - 查詢成員刪除狀態,返回參數中的
DeletionTime就是靜默期的到期時間。
靜默期后提示刪除失敗,怎么辦?
靜默期后如果刪除失敗,將會通過電子郵件的方式通知您。您需要重新發起刪除申請。
如何修改成員刪除的消息通知郵箱?
成員刪除的消息默認發送到資源目錄管理賬號的電子郵箱。如果您想修改消息接收人郵箱,您可以登錄消息中心,在基本接收管理頁面,修改消息類型為產品已釋放通知的消息接收人。
邀請成員
邀請成員有幾種失效情況?
有兩種失效情況:
被邀請方超出14天未確認。
邀請方取消邀請。
被邀請方確認是否有時間限制?
有。邀請成員從發起到結束必須限定在14天內。邀請記錄過期后,系統自動將狀態變更為已超時。
無效的邀請記錄是否可以刪除?
無效的邀請記錄在30天后會自動刪除,無需手動操作。
為什么被邀請方無法接受邀請?
只有被邀請方符合以下全部條件,才能接受邀請,并加入到資源目錄。任何一個條件不滿足,都無法接受邀請。
請確保被邀請方未加入任何資源目錄,一個阿里云賬號只能加入一個資源目錄。
請確保被邀請方已完成企業實名認證,未實名認證的賬號或個人實名認證賬號都不能加入資源目錄。
因為未實名認證賬號或個人實名認證賬號的行為具有隨意性強、法律保障性低和風險大的特點,該類賬號一旦加入資源目錄,可能會導致企業在阿里云上的資產被用于個人,對企業會產生潛在的資產流失及安全管理風險。所以資源目錄要求發起邀請和接受邀請的雙方都必須是企業類型的賬號,這樣才能在企業法律主體范圍內有效管控行為責任和安全風險。
當被邀請方遇到無法接受邀請的情況時,請嘗試以下方法:
對于未實名認證賬號,請完成企業實名認證。具體操作,請參見企業實名認證。
對于個人實名認證賬號,請升級為企業實名認證。具體操作,請參見如何將個人實名認證變更為企業實名認證。