本文为您介绍资源目录、资源组与标签之间的区别和联系,以及资源组鉴权与标签鉴权的区别。
三者之间的区别
云服务 | 适用场景 | 资源隔离 | 管控级别 | 跨账号 |
资源目录 | 多账号场景。 如果企业使用多个阿里云账号管理云资源,则可以使用资源目录构建企业组织结构,对账号和资源进行集中、有序地管理。 | 通过账号进行资源隔离。 | 账号级别。 | 多个成员下创建的资源组和标签不互通,不能跨账号使用。 |
资源组 | 单账号场景。 如果企业使用一个阿里云账号管理所有云资源,各个分公司或项目组使用RAM用户进行日常操作,则可以使用资源组作为资源隔离和权限管理的容器。例如:
| 通过RAM身份和权限策略进行资源隔离。 说明 资源组授权与标签授权的区别,请参见资源组鉴权与标签鉴权的区别。 | 资源级别。 | 不同阿里云账号下创建的资源组不互通,不能跨账号使用。 |
标签 | 单账号场景。 如果企业使用一个阿里云账号管理所有云资源,各个分公司或项目组使用RAM用户进行日常操作,则可以使用标签高效管理资源。例如:
| 资源级别。 | 不同阿里云账号下创建的标签不互通,不能跨账号使用。 |
三者之间的联系
三者之间是相辅相成、能力互通、有机结合的关系。例如:集团企业一般都是由多个分公司、部门或产品项目组等组成。如果将企业比作一棵树,资源目录可以用来构建树的主干和分支,资源组和标签可以对分支上树叶进行归纳和管理。请根据企业的实际情况选择资源目录、资源组或标签三个云服务中的一个或多个组合。
资源组鉴权与标签鉴权的区别
资源组和标签都可以将资源进行分类,在资源分类的基础上实现比账号更细粒度的权限控制。主要区别如下:
鉴权方式 | 适用场景 | 支持的云服务 | 授权示例 |
资源组 | 对于支持资源组的云资源,您可以将其加入资源组,然后针对资源组授权。该方式可以直接使用系统策略,操作便捷,学习成本低。对于更加精细的授权,您也可以使用自定义策略。 | ||
标签 | 对于支持标签的云资源,您可以为其绑定标签,然后针对标签授权。该方式只能在自定义策略中通过条件(Condition)指定授权的标签,使用灵活,授权粒度细,但您需要掌握自定义策略的用法,具有一定的使用门槛。 | 访问标签控制台,在资源类型能力项页签下的资源类型鉴权列,显示支持的资源类型。 |
|