通过设置全局标签,RAM子账号可以快速筛选出符合要求的已授权云资源。支持使用全局标签过滤ECS资源包括实例、镜像、快照、云盘、弹性网卡、共享块存储、安全组和密钥对等。
背景信息
全局标签的使用限制如下:
- 全局标签目前仅适用于子账号。
- 每个子账号仅支持设置一个全局标签。
- 每个全局标签最多可过滤1000个云资源,超出范围内的资源不会被展示出来。
场景一:资源分组
假设您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。
- 用于线上生产环境的实例Online1、Online2、Online3、Online4
- 用于测试环境的实例TestInstance1、TestInstance2
- 使用主账号创建RAM用户。具体操作,请参见创建RAM用户。
- 通过RAM授权或资源组授权的方式为子账号添加权限并进行相应的准备工作。
- 方式一:RAM授权
- 登录RAM控制台,为已创建的RAM用户配置权限。
具体步骤,请参见配置权限。本示例中我们为RAM用户授予AliyunECSFullAccess权限。
- 分别创建名称为Online1、Online2、Online3、Online4的实例。
创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例。
- 分别创建名称为TestInstance1和TestInstance2的实例。
创建实例时,在分组设置页面将每个实例的标签设置为环境:测试。
- 方式二:资源组授权
- 使用主账号登录ECS控制台。
- 分别创建名称为Online1、Online2、Online3、Online4的实例。
创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例。
- 分别创建名称为TestInstance1和TestInstance2的实例。
创建实例时,在分组设置页面将每个实例的标签设置为环境:测试。
- 创建资源组测试组和线上组。
具体步骤,请参见新建资源组。
- 将实例Online1、Online2、Online3、Online4添加到线上组中,将实例TestInstance1、TestInstance2添加到测试组中。
具体步骤,请参见单账号内部的资源跨组转移。
- 在资源组中为已创建的RAM用户授权。在资源组测试组和线上组中添加该RAM用户。
具体步骤,请参见在资源组中添加用户。
- 使用RAM子账号登录ECS控制台。
- 在全局标签的设置引导栏中,单击设置。
- 在键文本框中,填写环境,在值文本框中填写测试,单击确定。
当全局标签设置为环境:测试时,用于测试环境的实例TestInstance1和TestInstance2都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。
场景二:权限分组
在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。本场景以财务部和IT部为例,介绍全局标签在权限分组中的应用方法。
- 使用主账号为财务部和IT部创建实例。
- 使用主账号登录ECS控制台。
- 分别创建实例Finance1和Finance2。
创建实例时,在
分组设置页面将标签设置为
部门:财务部。具体步骤,请参见
创建实例。
- 分别创建实例IT1和IT2。
创建实例时,在
分组设置页面将标签设置为
部门:IT部。具体步骤,请参见
创建实例。
- 使用主账号为财务部和IT部创建账号并授权。
- 使用主账号登录RAM控制台。
- 创建RAM用户,账号A为财务部,账号B为IT部。具体步骤请参见创建RAM用户。
- 使用以下授权策略为财务部账号A进行RAM授权。具体步骤请参见RAM 授权。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeTagKeys",
"ecs:ListTagResources",
"ecs:DescribeTags"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:*"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ecs:tag/部门": "财务部"
}
}
},
{
"Action": [
"ecs:Create*",
"ecs:Run*",
"ecs:Delete*",
"ecs:Release*",
"ecs:Allocate*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}
- 使用以下授权策略为IT部账号B授权。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeTagKeys",
"ecs:ListTagResources",
"ecs:DescribeTags"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:*"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ecs:tag/部门": "IT部"
}
}
},
{
"Action": [
"ecs:Create*",
"ecs:Run*",
"ecs:Delete*",
"ecs:Release*",
"ecs:Allocate*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}
- 使用IT部账号B登录ECS控制台。
- 在全局标签的设置引导栏中,单击设置。
- 在键文本框中填写部门,在值文本框中填写IT部,单击确定。
授权给IT部的实例IT1和IT2都会出现在账号B的实例列表中。
评论