雲賬号知多少

咨詢第一定律：不管客戶和你說什麼，問題總會有。

咨詢第二定律：不管一開始看起來什麼樣，它永遠是人的問題。

咨詢第三定律：永遠别忘了客戶是按小時付費，而不是按解決方案付費的。

————《咨詢的奧秘》

在上周的《看雲栖說雲栖 —— 雲作業系統的視窗界面》中，SAP告訴我們如何使用資源目錄來解決多個雲賬号的統一管理問題。這裡的資源目錄是阿裡雲開發的一項資源管理功能，通過資源目錄可以根據實際的組織架建構立對應的資源架構，并在對應的架構節點上建立或者邀請雲賬号加入。新建立的雲賬号可以沒有登陸的功能而隻是資源的容器。假如是沒有登陸功能的雲賬号被稱為資源賬号，有登陸功能的賬号被稱為雲賬号，資源賬号可以轉化為雲賬号。而建立資源目錄的雲賬号被稱為根賬号。根賬号自動擁有被邀請進資源目錄的雲賬号中資源的通路權限，并可以成為其他雲賬号的付款賬号，為其購買的雲資源支付費用。

通常情況下，不應使用根賬号通路資源目錄中的資源，而是應該建立RAM子賬号、RAM角色通過授權來使用這些資源，而且作為純粹資源容器的資源賬号下的資源隻能通過RAM賬号和RAM角色通路，而不能通過根賬号直接通路，進而安全性更高。

RAM子賬号是一種實體身份，有确定的身份ID和身份憑證，通常與某個确定的人或應用程式一一對應。一個雲賬号下可以建立多個RAM子賬号。

RAM角色是一種虛拟使用者，沒有确定的身份認證密鑰，需要被一個受信的實體使用者扮演才能正常使用。RAM角色可以被賦予一組權限政策，在被擁有實體身份的賬号扮演後實體将擁有這組權限來對資源進行通路。

RAM子賬戶和RAM角色不僅支援在阿裡雲體系内使用，還支援SSO（單點登入），可以和企業内部的本地idP進行整合，阿裡雲支援的本地idP包括：Microsoft Active Directory Federation Service（AD FS）、Shibboleth等。

阿裡雲支援兩種SSO方式：

• 使用者SSO：通過SSO來确定RAM使用者，使用者登入後，使用RAM使用者通路阿裡雲。使用者SSO方式需要定期在企業内部和阿裡雲之間進行RAM使用者同步。
• 角色SSO：通過SSO來确定RAM角色，使用者登入後，使用該RAM角色的令牌來擷取資源的通路權限。使用該方式的前提是要通路的資源支援通過STS令牌方式進行通路。

雲賬号在被建立或者邀請進入資源目錄後可以将本賬号下的資源共享給一個或多個在同一資源目錄下的雲賬号，這個功能叫做資源共享。這些在同一資源目錄下的賬号統稱為成員賬号。

目前僅支援把vSwitch共享給其他成員賬号。資源共享的一個典型應用場景是一個賬号建立一個VPC并将其中的vSwitch共享給其他成員賬号。其他成員賬号就可以在這個vSwitch下部署雲資源，進而以便捷的方式實作多個雲賬号下的資源互通和共享。