日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 訪問控制 實踐教程 教程 資源分組和授權

資源分組和授權

更新時間:
產品詳情
我的收藏

當您在阿里云上擁有多個資源,并希望限制用戶只能查看和管理部分資源時,您可以使用資源組對資源進行分組,然后使用阿里云RAM創建RAM用戶,并對RAM用戶授予資源組范圍內的權限。

背景信息

游戲公司A正在開發3個游戲項目,每個游戲項目都會用到多種云資源。

公司A有如下要求:

  • 項目獨立管理:每個管理員各自能夠獨立管理項目人員及其訪問權限。

  • 按項目分賬:財務部門希望能夠根據項目進行出賬,以解決財務成本分攤的問題。

公司A有如下解決方案:

  • 多賬號方案

    • 可以滿足項目獨立管理:公司A注冊3個阿里云賬號(對應3個項目),每個阿里云賬號有對應項目管理員可以獨立管理成員及其訪問權限。

    • 可以滿足按項目分賬:每個阿里云賬號有默認賬單,可以利用阿里云提供的多賬號合并記賬能力來解決統一賬單和發票問題。

  • 單賬號資源打標簽方案

    • 無法滿足項目獨立管理:給資源打標簽可以模擬項目分組,但無法解決項目管理員獨立管理項目成員及其訪問權限的問題。

    • 可以滿足按項目分賬:按照項目組給資源打上對應標簽,根據標簽實現分賬。

  • 單賬號資源組方案

    • 可以滿足項目獨立管理:每個資源組有對應的管理員,資源組管理員可以獨立管理成員及其訪問權限。

    • 可以滿足按項目分賬:賬單管理功能支持按資源組進行分賬,解決財務成本分攤的問題。

經過分析對比:多賬號方案,更適合不同項目要徹底隔離,由項目人員自主管理,同時中心團隊能對多賬號做整體的管控,保證一致性和標準的落地。單賬號方案,更適合集中運維模式的企業,由集中的團隊負責整個公司的IT運維,不同項目組通過資源組對資源做分組管理。所以,公司A選擇了單賬號資源組方案。本文將為您詳細介紹該方案的實施方法。

解決方案

資源組是在阿里云賬號下進行資源分組管理的一種機制,公司A只需使用1個阿里云賬號(主賬號),創建3個資源組(對應3個游戲項目),創建3個RAM用戶(對應3個游戲項目的管理員)。

資源組解決方案

只有支持資源組的云服務和資源類型,資源組授權才能生效。更多信息,請參見支持資源組的云服務。

操作步驟

以下所有操作使用賬號管理員完成。

  1. RAM控制臺,創建RAM用戶。

    本示例中,將創建以下3個RAM用戶。具體操作,請參見創建RAM用戶。

    • RAM用戶Alice:擔任游戲項目1的管理員。

    • RAM用戶Bob:擔任游戲項目2的管理員。

    • RAM用戶Charlie:擔任游戲項目3的管理員。

  2. 資源組控制臺,創建資源組。

    本示例中,將創建以下3個資源組。具體操作,請參見創建資源組

    • 資源組Game1:管理游戲項目1的資源。

    • 資源組Game2:管理游戲項目2的資源。

    • 資源組Game3:管理游戲項目3的資源。

  3. 資源劃分到對應資源組。

    • 新購買或創建的資源:在購買或創建資源的時候,直接選擇對應的資源組。具體操作,請參見為資源組創建資源

    • 存量資源:轉移資源到對應的資源組。具體操作,請參見跨資源組轉移資源

  4. 為RAM用戶授予對應資源組的權限。

    本示例中,因為3個RAM用戶需要擔任資源組管理員,所以您可以授予RAM用戶在對應資源組范圍內的完全管理權限AdministratorAccess。例如:授予RAM用戶Alice在資源組Game1范圍內的AdministratorAccess權限。

    在實際業務環境中,建議您遵循最小授權原則,授予RAM用戶剛剛好的權限即可,避免權限過大帶來的安全風險。

    以下兩種授權方法您可以任選其一:

執行結果

本示例中,由于RAM用戶Alice、Bob和Charlie分別是資源組Game1、Game2、Game3的管理員,RAM用戶將擁有以下權限:

  • 在云產品控制臺,可以查看對應資源組內的資源,并可以在對應資源組內創建和管理資源。

    重要

    您必須在云產品控制臺選擇對應資源組,才能看到資源組內的資源。如果不選資源組,您將無法看到任何資源。

  • 在資源組控制臺,可以管理授權了對應資源組范圍權限的RAM用戶、RAM用戶組和RAM角色。

相關示例

僅允許RAM用戶查看和管理被授權的ECS實例:使用資源組限制RAM用戶管理指定的ECS實例。