使用資源群組進行精細化資源控制

基本概念

資源群組

資源群組（Resource Group）是在阿里雲帳號下進行資源分組管理的一種機制，能夠有效解決單個阿里雲帳號內的資源分組、許可權管理和成本分攤等複雜問題。例如，您可以為不同的專案建立對應的資源群組，並將專案使用的資源轉移到對應的組中，以便集中管理各專案的資源。更多資訊，請參見什麼是資源群組、資源群組設計最佳實務。

資源群組層級授權

在完成資源分組後，您可以使用RAM為RAM授權主體（RAM使用者、RAM使用者組或RAM角色）授予指定資源群組範圍的許可權，從而限制其可管理的資源範圍僅為指定資源群組內的資源。這種授權方式具有良好的擴充性，後續新增資源時，只需將資源加入相應的資源群組，無需修改權限原則。更多資訊，請參見資源分組和授權。

資源群組層級授權的操作步驟

以下以授予RAM使用者在指定資源群組內管理OSS資源的許可權為例，為您介紹資源群組層級授權的操作步驟。

1. 在RAM控制台，建立RAM使用者。

   具體操作，請參見建立RAM使用者。

2. 在資源群組控制台，建立資源群組。

   具體操作，請參見建立資源群組。

3. 資源劃分到對應資源群組。

   • 新建立的資源：在建立資源時，指定其所屬的資源群組。

   • 現有資源：將現有資源轉移到對應的資源群組。具體操作，請參見資源手動轉組。

4. 在RAM控制台，建立自訂權限原則。

   建立自訂權限原則，將RAM使用者所需的操作許可權包含在內。具體操作，請參見建立自訂權限原則。如果您選擇為RAM使用者授予系統權限原則，可跳過此步驟。

   重要

   在實際業務環境中，建議您遵循最小授權原則，僅授予RAM使用者所需的最少許可權，以避免許可權過大帶來的安全風險。

   自訂權限原則樣本：

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
             "oss:GetObject",
             "oss:PutObject",
         ],
         "Resource": "*"
       }
     ]
   }

5. 為RAM使用者授予指定資源群組範圍的許可權。

   以下兩種授權方法您可以任選其一：

   • 在資源群組控制台授權：資源範圍預設選中對應的資源群組。具體操作，請參見添加RAM身份並授權。

     

   • 在RAM控制台授權：在選擇資源範圍時，請務必選擇資源群組層級。具體操作，請參見為RAM使用者授權。

     

支援資源群組的資源類型

OSS中部分資源類型支援資源群組，支援的資源類型如下表所示。

不支援資源群組層級授權的操作

OSS中不支援資源群組層級授權的操作（Action）及對應 API 如下表所示。

關於 OSS 更詳細的RAM授權資訊，請參見通過RAM Policy授權訪問OSS。

對於不支援資源群組的資源類型，授予資源群組範圍的許可權將無效，您需要建立自訂權限原則，授權時資源範圍選取帳號層級。

以下為您提供兩個自訂權限原則樣本，您可以根據實際需要調整策略內容。

• 允許不支援資源群組層級授權的唯讀操作。Action中列舉不支援資源群組層級授權的所有隻讀操作。

  {
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "oss:DescribeRegions",
          "oss:ListUserDataRedundancyTransition",
          "oss:GetPublicAccessBlock",
          "oss:GetUserAntiDDosInfo",
          "oss:ListBucketAntiDDosInfo",
          "oss:ListResourcePools",
          "oss:GetResourcePoolInfo",
          "oss:ListResourcePoolBuckets",
          "oss:GetResourcePoolRequesterQoSInfo",
          "oss:ListResourcePoolRequesterQoSInfos",
        ],
        "Resource": "*"
      }
    ]
  }

• 允許不支援資源群組層級授權的全部操作。Action中列舉不支援資源群組層級授權的全部操作。

  {
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "oss:DescribeRegions",
          "oss:ListUserDataRedundancyTransition",
          "oss:PutPublicAccessBlock",
          "oss:GetPublicAccessBlock",
          "oss:DeletePutblicAccessBlock",
          "oss:InitUserAntiDDosInfo",
          "oss:UpdateUserAntiDDosInfo",
          "oss:GetUserAntiDDosInfo",
          "oss:InitBucketAntiDosInfo",
          "oss:UpdateBucketAntiDDosInfo",
          "oss:ListBucketAntiDDosInfo",
          "oss:ListResourcePools",
          "oss:GetResourcePoolInfo",
          "oss:ListResourcePoolBuckets",
          "oss:PutResourcePoolRequesterQoSInfo",
          "oss:GetResourcePoolRequesterQoSInfo",
          "oss:ListResourcePoolRequesterQoSInfos",
          "oss:DeleteResourcePoolRequesterQoSInfo",
        ],
        "Resource": "*"
      }
    ]
  }