當您在阿里雲上擁有多個資源,並希望限制使用者只能查看和管理部分資源時,您可以使用資源群組對資源進行分組,然後使用阿里雲RAM建立RAM使用者,並對RAM使用者授予資源群組範圍內的許可權。
背景資訊
遊戲公司A正在開發3個遊戲專案,每個遊戲專案都會用到多種雲資源。
公司A有如下要求:
專案獨立管理:每個管理員各自能夠獨立管理專案人員及其存取權限。
按專案分賬:財務部門希望能夠根據專案進行出賬,以解決財務成本分攤的問題。
公司A有如下解決方案:
多帳號方案
可以滿足專案獨立管理:公司A註冊3個阿里雲帳號(對應3個專案),每個阿里雲帳號有對應專案系統管理員可以獨立管理成員及其存取權限。
可以滿足按專案分賬:每個阿里雲帳號有預設賬單,可以利用阿里雲提供的多帳號合并記賬能力來解決統一賬單和發票問題。
單帳號資源打標籤方案
無法滿足專案獨立管理:給資源打標籤可以類比專案分組,但無法解決專案系統管理員獨立管理專案成員及其存取權限的問題。
可以滿足按專案分賬:按照專案組給資源打上對應標籤,根據標籤實現分賬。
單帳號資源群組方案
可以滿足專案獨立管理:每個資源群組有對應的管理員,資源群組管理員可以獨立管理成員及其存取權限。
可以滿足按專案分賬:賬單管理功能支援按資源群組進行分賬,解決財務成本分攤的問題。
經過分析對比:多帳號方案,更適合不同專案要徹底隔離,由專案人員自主管理,同時中心團隊能對多帳號做整體的管控,保證一致性和標準的落地。單帳號方案,更適合集中營運模式的企業,由集中的團隊負責整個公司的IT營運,不同專案組通過資源群組對資源做分組管理。所以,公司A選擇了單帳號資源群組方案。本文將為您詳細介紹該方案的實施方法。
解決方案
資源群組是在阿里雲帳號下進行資源分組管理的一種機制,公司A只需使用1個阿里雲帳號(主帳號),建立3個資源群組(對應3個遊戲專案),建立3個RAM使用者(對應3個遊戲專案的管理員)。
只有支援資源群組的雲端服務和資源類型,資源群組授權才會生效。更多資訊,請參見支援資源群組的雲端服務。
操作步驟
以下所有操作使用帳號管理員完成。
在RAM控制台,建立RAM使用者。
本樣本中,將建立以下3個RAM使用者。具體操作,請參見建立RAM使用者。
RAM使用者
Alice
:擔任遊戲專案1的管理員。RAM使用者
Bob
:擔任遊戲專案2的管理員。RAM使用者
Charlie
:擔任遊戲專案3的管理員。
在資源群組控制台,建立資源群組。
本樣本中,將建立以下3個資源群組。具體操作,請參見建立資源群組。
資源群組
Game1
:管理遊戲專案1的資源。資源群組
Game2
:管理遊戲專案2的資源。資源群組
Game3
:管理遊戲專案3的資源。
資源劃分到對應資源群組。
為RAM使用者授予對應資源群組的許可權。
本樣本中,因為3個RAM使用者需要擔任資源群組管理員,所以您可以授予RAM使用者在對應資源群組範圍內的完全系統管理權限
AdministratorAccess
。例如:授予RAM使用者Alice
在資源群組Game1
範圍內的AdministratorAccess
許可權。在實際業務環境中,建議您遵循最小授權原則,授予RAM使用者剛剛好的許可權即可,避免許可權過大帶來的安全風險。
以下兩種授權方法您可以任選其一:
在資源群組控制台授權:添加RAM身份並授權。
- 重要
授權範圍請務必選擇指定資源群組。
執行結果
本樣本中,由於RAM使用者Alice、Bob和Charlie分別是資源群組Game1、Game2、Game3的管理員,RAM使用者將擁有以下許可權:
在雲產品控制台,可以查看對應資源群組內的資源,並可以在對應資源群組內建立和管理資源。
重要您必須在雲產品控制台選擇對應資源群組,才能看到資源群組內的資源。如果不選資源群組,您將無法看到任何資源。
在資源群組控制台,可以管理授權了對應資源群組範圍許可權的RAM使用者、RAM使用者組和RAM角色。
相關樣本
僅允許RAM使用者查看和管理被授權的ECS執行個體:使用資源群組限制RAM使用者管理指定的ECS執行個體。