EDAS 账号体系介绍__账号管理_用户指南_企业级分布式应用服务 EDAS-阿里云

为了更好地保护企业信息安全，实现企业级的账号管理，EDAS 提供了完善的主子账号管理体系。主账号可以分配权限和资源给多个子账号，实现按需为用户分配最小权限，从而降低企业信息安全风险，减轻主账号的工作负担。

接入阿里云访问控制（Resource Access Management，RAM）的账号体系之前，EDAS 本身拥有一套严谨的主子账号体系，实现了人权分离。2016年7月份升级后，EDAS 也同时支持了 RAM 主子账号体系。

EDAS 的账号体系如下图：

account1

付费账号是指用于购买 EDAS 产品的账号，该账号同时也是一个主账号。针对同一个企业内通常有多个部门同时使用 EDAS 的场景，EDAS 支持用户用付费账号购买 EDAS，然后将此付费账号绑定多个主账号，即一人付费多人使用，实现了客户利益最大化。

注意：一个付费账号最多只能绑定 5 个主账号。

付费账号和主账号的关系：

所有的付费账号都是主账号，但不是所有的主账号都是付费账号。
所有的主账号都是一个独立的个体，拥有该主账号购买的所有资源，且对 EDAS 拥有所有的权限（除了没有绑定主账号权限）。
付费账号和主账号是相互独立的两个阿里云账号，付费账号与主账号之间的绑定付费关系只在购买 EDAS 的时候有效，即付费账号只能替主账号购买 EDAS，不能代替购买其他资源。被绑定的主账号如果需要使用 EDAS 中使用的其他资源，如 ECS、SLB等（具体的资源详情请参考资源管理），则需要用本账号购买。

下文以几个典型场景为例来进一步说明 EDAS 账号体系的运用。

场景一

某公司用账号 A 购买了 EDAS，那么 A 就是一个付费账号，同时也是一个主账号。该公司还有其他两个部门都需要使用 EDAS，于是账号 A 将这两个部门的账号 B、C 绑定为主账号。那么 B、C 账号不需要付费购买 EDAS 就可以正常访问 EDAS了。如下图所示：

account2

场景二

假设 B、C 需要使用 EDAS 的完整功能，如创建应用、运行应用等，则必须自行购买 ECS 等资源，而不能用账号 A 进行购买，如下图所示：

account3

场景三

准备好资源后，三个主账号对应的部门分别创建了各自的子账号，用于权限及资源的具体分配和管理。A 账号给子账号 a 授予了所有的 ECS 资源和所有权限；B 账号创建了应用管理员和运维管理员的两个角色，并将这两个角色分别授予给了子账号 b1，b2；C 账号创建了一个查看应用的角色，授权给了 c。

account4

最后更新：2016-11-23 16:04:18