You need to enable JavaScript to run this app.
导航
成员账号与管理员账号权限关系
最近更新时间:2022.09.06 17:40:48首次发布时间:2022.09.06 17:40:48

在企业组织中,成员账号和管理员账号双方的权限管理关系由以下几种方式进行控制和维护。

管理员账号控制成员账号自身的权限范围

管理员账号能够指定成员账号的服务访问范围。
其中服务指:访问控制服务等基础平台服务、各个云产品,等等。
举例:

  • 阻止某账号对该账号下访问控制用户和角色进行某些更改
  • 阻止成员账户退出组织
  • 控制ECS的实例类型

管理员账号通过管控策略设置成员账号权限范围

通过企业组织中的组织策略-管控策略,对允许成员账号对其账号本身资源的操作范围进行划定,限制成员账号的最大权限范围。通过管控策略划定的权限范围,成员账号自身无法进行变更,且其在账号内设置的访问控制策略,也无法突破管控策略的权限范围。

成员账号对管理员账号的权限

默认情况下,成员账号无访问或操作管理员账号或其他成员账号资源的权限。

管理员账号在成员账号内的权限范围

管理员账号通过角色扮演的方式访问成员账号,可以理解为在成员账号下自动创建“管家”职位,有相应的管家职权。管理员账号来应聘管家,以“管家”的角色访问成员账号,行使管理职权。

管理员账号默认权限

管理员账号默认可以具有管理成员账号资源的全部权限:在邀请、创建成员账号成功后,成员账号的访问控制下会自动创建一个授信给管理员账号的角色(OrganizationAccessControlRole),并赋予完全管理权限(AdministratorAccess),即等同于成员账号根用户所有的权限:管理账户内所有用户及其权限、财务相关的信息、服务资产的权限。管理员账号使用此角色可以登录并管理成员账号相关资源。登录和访问成员账号可以参考:管理员账号访问成员账号管理员账号编程方式访问成员账号

成员账号修改默认权限

成员账号可以对管理账号的权限进行修改或删除:登录成员账号后,在访问控制-身份管理-角色内可以对角色OrganizationAccessControlRole进行修改,可以选择删除该角色。操作有以下两种实现效果:

禁止管理员访问成员账号

登陆成员账号,在访问控制-身份管理-角色内,删除访问控制内OrganizationAccessControlRole。

限制管理员访问成员账号

允许管理员访问,但是需要对访问权限做限制,则需要对OrganizationAccessControlRole上附加的权限策略作调整。在访问控制-身份管理-角色,对角色点击编辑,编辑附加的权限策略。

您可以删除AdministratorAccess策略、添加系统预设策略或者在策略管理内添加、修改自定义权限策略。
权限的编辑参考策略管理