通过设置全局标签,RAM子账号可以快速筛选出符合要求的已授权云资源。支持使用全局标签过滤ECS资源包括实例、镜像、快照、云盘、弹性网卡、共享块存储、安全组和密钥对等。

背景信息

全局标签的使用限制如下:
  • 全局标签目前仅适用于子账号。
  • 每个子账号仅支持设置一个全局标签。
  • 每个全局标签最多可过滤1000个云资源,超出范围内的资源不会被展示出来。

场景一:资源分组

假设您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。
  • 用于线上生产环境的实例Online1、Online2、Online3、Online4
  • 用于测试环境的实例TestInstance1、TestInstance2
  1. 使用主账号创建RAM用户。具体操作,请参见创建RAM用户
  2. 通过RAM授权或资源组授权的方式为子账号添加权限并进行相应的准备工作。
    • 方式一:RAM授权
      1. 登录RAM控制台,为已创建的RAM用户配置权限。

        具体步骤,请参见配置权限。本示例中我们为RAM用户授予AliyunECSFullAccess权限。

      2. 分别创建名称为Online1、Online2、Online3、Online4的实例。

        创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例

      3. 分别创建名称为TestInstance1和TestInstance2的实例。

        创建实例时,在分组设置页面将每个实例的标签设置为环境:测试

    • 方式二:资源组授权
      1. 使用主账号登录ECS控制台。
      2. 分别创建名称为Online1、Online2、Online3、Online4的实例。

        创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例

      3. 分别创建名称为TestInstance1和TestInstance2的实例。

        创建实例时,在分组设置页面将每个实例的标签设置为环境:测试

      4. 创建资源组测试组线上组

        具体步骤,请参见新建资源组

      5. 将实例Online1、Online2、Online3、Online4添加到线上组中,将实例TestInstance1、TestInstance2添加到测试组中。

        具体步骤,请参见单账号内部的资源跨组转移

      6. 在资源组中为已创建的RAM用户授权。在资源组测试组线上组中添加该RAM用户。

        具体步骤,请参见在资源组中添加用户

  3. 使用RAM子账号登录ECS控制台。
  4. 在全局标签的设置引导栏中,单击设置
    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第1张
  5. 文本框中,填写环境,在文本框中填写测试,单击确定
    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第2张

    当全局标签设置为环境:测试时,用于测试环境的实例TestInstance1TestInstance2都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。

    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第3张

场景二:权限分组

在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。本场景以财务部和IT部为例,介绍全局标签在权限分组中的应用方法。

  1. 使用主账号为财务部和IT部创建实例。
    1. 使用主账号登录ECS控制台
    2. 分别创建实例Finance1和Finance2。
      创建实例时,在分组设置页面将标签设置为部门:财务部。具体步骤,请参见创建实例
    3. 分别创建实例IT1和IT2。
      创建实例时,在分组设置页面将标签设置为部门:IT部。具体步骤,请参见创建实例
  2. 使用主账号为财务部和IT部创建账号并授权。
    1. 使用主账号登录RAM控制台
    2. 创建RAM用户,账号A为财务部,账号B为IT部。具体步骤请参见创建RAM用户
    3. 使用以下授权策略为财务部账号A进行RAM授权。具体步骤请参见RAM 授权
      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:ListTagResources",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "财务部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
    4. 使用以下授权策略为IT部账号B授权。
      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:ListTagResources",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "IT部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
  3. 使用IT部账号B登录ECS控制台
  4. 在全局标签的设置引导栏中,单击设置
    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第4张
  5. 文本框中填写部门,在文本框中填写IT部,单击确定
    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第5张

    授权给IT部的实例IT1IT2都会出现在账号B的实例列表中。

    全局标签实践_标签_标签与资源_云服务器 ECS 阿里云技术文档 第6张