EDAS 賬號體係介紹__賬號管理_用戶指南_企業級分布式應用服務 EDAS-阿裏雲

為了更好地保護企業信息安全，實現企業級的賬號管理，EDAS 提供了完善的主子賬號管理體係。主賬號可以分配權限和資源給多個子賬號，實現按需為用戶分配最小權限，從而降低企業信息安全風險，減輕主賬號的工作負擔。

接入阿裏雲訪問控製（Resource Access Management，RAM）的賬號體係之前，EDAS 本身擁有一套嚴謹的主子賬號體係，實現了人權分離。2016年7月份升級後，EDAS 也同時支持了 RAM 主子賬號體係。

EDAS 的賬號體係如下圖：

account1

付費賬號是指用於購買 EDAS 產品的賬號，該賬號同時也是一個主賬號。針對同一個企業內通常有多個部門同時使用 EDAS 的場景，EDAS 支持用戶用付費賬號購買 EDAS，然後將此付費賬號綁定多個主賬號，即一人付費多人使用，實現了客戶利益最大化。

注意：一個付費賬號最多隻能綁定 5 個主賬號。

付費賬號和主賬號的關係：

所有的付費賬號都是主賬號，但不是所有的主賬號都是付費賬號。
所有的主賬號都是一個獨立的個體，擁有該主賬號購買的所有資源，且對 EDAS 擁有所有的權限（除了沒有綁定主賬號權限）。
付費賬號和主賬號是相互獨立的兩個阿裏雲賬號，付費賬號與主賬號之間的綁定付費關係隻在購買 EDAS 的時候有效，即付費賬號隻能替主賬號購買 EDAS，不能代替購買其他資源。被綁定的主賬號如果需要使用 EDAS 中使用的其他資源，如 ECS、SLB等（具體的資源詳情請參考資源管理），則需要用本賬號購買。

下文以幾個典型場景為例來進一步說明 EDAS 賬號體係的運用。

場景一

某公司用賬號 A 購買了 EDAS，那麼 A 就是一個付費賬號，同時也是一個主賬號。該公司還有其他兩個部門都需要使用 EDAS，於是賬號 A 將這兩個部門的賬號 B、C 綁定為主賬號。那麼 B、C 賬號不需要付費購買 EDAS 就可以正常訪問 EDAS了。如下圖所示：

account2

場景二

假設 B、C 需要使用 EDAS 的完整功能，如創建應用、運行應用等，則必須自行購買 ECS 等資源，而不能用賬號 A 進行購買，如下圖所示：

account3

場景三

準備好資源後，三個主賬號對應的部門分別創建了各自的子賬號，用於權限及資源的具體分配和管理。A 賬號給子賬號 a 授予了所有的 ECS 資源和所有權限；B 賬號創建了應用管理員和運維管理員的兩個角色，並將這兩個角色分別授予給了子賬號 b1，b2；C 賬號創建了一個查看應用的角色，授權給了 c。

account4

最後更新：2016-11-23 16:04:18