開通資源目錄的方式有幾種？如何選擇？

開通資源目錄時，系統會自動檢查當前登錄賬號的企業實名認證、安全信息（手機號碼或電子郵箱）及資源保有情況，然后判斷其是否具備開通資源目錄的條件，并根據判斷結果推薦以下兩種方式中的一種去開通資源目錄。

• 使用當前登錄賬號開通資源目錄

  該方式適用于當前登錄賬號已完成企業實名認證、已設置安全信息且賬號下沒有資源的情況。

• 創建新的管理賬號開通資源目錄

  該方式適用于當前登錄賬號已完成企業實名認證，但未設置安全信息或賬號下存在資源的情況。

  該方式會創建一個新的阿里云賬號作為資源目錄的管理賬號，新賬號會繼承當前登錄賬號的企業實名認證信息。新賬號需要通過密碼找回功能設置控制臺登錄密碼。同時，當前登錄賬號會成為該資源目錄的成員。

為什么無法開通資源目錄？

可能有如下兩個原因：

• 當前賬號沒有進行企業實名認證。關于企業實名認證，請參見企業實名認證。
• 當前賬號已經在資源目錄內，無法重復開通。

什么樣的賬號不適合作為資源目錄的管理賬號？

• 賬號下有待處理的邀請。

  建議：先處理邀請后再開通資源目錄。

• 賬號下已經有云資源部署了業務或應用。

  建議：由于管理賬號將承載整個資源目錄的架構管理、用戶權限管控等高權限操作，為了確保管理賬號的安全，建議您創建一個新的阿里云賬號作為管理賬號，避免將已有用途的阿里云賬號作為管理賬號。

關閉資源目錄會產生什么影響？

• 您創建的組織關系和管控策略等數據將會被清理。
• 已啟用的可信服務中的相關數據將會被清理。例如：如果您在操作審計中創建了多賬號跟蹤，當關閉資源目錄后，操作審計中的多賬號跟蹤數據將會被清理。
• 可信服務中集成了資源目錄的功能可能會被禁用。例如：云SSO的多賬號權限管理功能，只有資源目錄已啟用時才能正常運行。

為什么資源目錄的很多功能僅支持RAM用戶使用？

阿里云安全最佳實踐推薦使用最小權限用戶進行操作。賬號的管理員用戶（根用戶）默認具備Administrator權限，具有極高的安全風險，不符合安全實踐要求。

資源目錄中建議禁用所有賬號的根用戶，啟用可配置適當權限的RAM用戶執行所有操作。

資源目錄的關鍵操作僅支持具有訪問權限的RAM用戶操作，主要是因為：

• 符合最小權限原則。
• 規避賬號的管理員用戶權限濫用導致的安全風險。
• 規避企業多個用戶共享阿里云賬號密鑰帶來的安全風險。
• 為企業員工分配對應的RAM用戶，系統會記錄RAM用戶的操作行為，方便審計回溯。