ECS控制台云资源分组管理---全局标签

功能简述

对于云资源数量和种类保有很多的用户,如果全部的云资源都由一个人或一个账号来管理,不但效率低也容易出错,更大的痛楚还有2个:

  1. 父账号云资源太多,子账号进到控制台看到的资源很可能不是自己能操作的,每次都需要经过过滤才能找到属于自己的资源犹如海底捞针。
  2. 假如父账号对子账号做更详细的RAM授权,比如指定子账号只有标签A的权限,也就是说子账号进到控制台默认是看不到任何资源的,必须将过滤条件指定为按标签A过滤才能看到被授权的资源。

合理的对保有云资源从用途、权限、归属等维度上进行分组是解决这个问题的正确方式。ECS控制台近期推出新的功能--全局标签,期望能让您在做云资源分组时更加快速、便捷的找到期望的云资源。

功能介绍

  1. 子账号进入控制台,如果没有设置过全局标签会有提醒引导,点击设置开始设置全局标签:ECS控制台云资源分组管理---全局标签
  2. 填写正确的全局标签后点击确定,会将全局标签的设置内容显示出来,这时所有的云资源都会按全局标签过滤后的结果返回数据:
    ECS控制台云资源分组管理---全局标签

ECS控制台云资源分组管理---全局标签

经典场景

资源分组

场景概览:

账号拥有的云资源按用途分为2类,首先是用于线上生产环境的实例A、B、C、D,其次还有用于测试环境的实例X、Y。生产环境不常做变更,只在需要做正式发布时会有操作。而测试环境需要经常做环境升级甚至实例重启的操作。为了避免对线上正式环境有影响,需要将这两类实例做出区分。

解决方法:

  1. 对实例A、B、C、D打上标签A(键:环境 值:线上),对实例X、Y打上标签B(键:环境 值:测试)。
  2. 平时开发测试时将全局标签设置为标签B,所有的云资源都会按标签B进行过滤,比如:平时仅显示实例X、Y,任何操作都仅对测试的实例执行不会影响线上实例。当需要做线上正式发布时,修改全局标签将其设置为标签A,这时过滤出的实例就是A、B、C、D了。

权限分组

场景概览:

父账号通常要管理数量众多的云资源,都由一个账号管理不但存在单点权限的风险,效率也不高。这时企业希望对不同的部门授予不同的资源和管理权限,不同的部门在控制台和API中只能查看和管理属于自己的云资源,降低风险的同时也提升了管理效率。如:创建两个子账号,各自管理财务部和IT部的云资源。

解决方法:

如果希望子账号在控制台API只能查看和管理属于自己的云资源,需要借助RAM的授权管理:

  1. 在RAM创建2个子账号,账号A:财务部,账号B:IT部。
  2. 对实例X、Y打上标签A(键:部门 值:财务部),对实例A、B、C、D打上标签B(键:部门 值:IT部)。
  3. 对账号A进行授权:
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeTagKeys",
        "ecs:DescribeTags"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:*"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ecs:tag/部门": "财务部"
        }
      }
    },
    {
      "Action": [
        "ecs:Create*",
        "ecs:Run*",
        "ecs:Delete*",
        "ecs:Release*",
        "ecs:Allocate*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}
  1. 对账号B进行授权:
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeTagKeys",
        "ecs:DescribeTags"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:*"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ecs:tag/部门": "IT部"
        }
      }
    },
    {
      "Action": [
        "ecs:Create*",
        "ecs:Run*",
        "ecs:Delete*",
        "ecs:Release*",
        "ecs:Allocate*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}
  1. 账号A登陆控制台后,如果没有设置全局标签是看不到任何云资源的,这时将全局资源设置为标签A(键:部门 值:财务部)后,所有属于财务部的云资源都显示出来并能操作了,IT部的设置同理。

使用限制和注意事项

全局标签是基于标签系统实现,在使用时有几个限制:

  1. 仅支持设置一个全局标签。
  2. 一个全局标签,最大支持过滤1000个云资源。建议您不要对单一标签关联过多云资源。
  3. 全局标签目前仅对子账号开放。

注意事项:

  1. 创建云资源时目前还没有感知全局标签,如果使用全局标签,需要您在创建云资源时手工先在标签中打上全局标签,避免新的云资源在创建后被全局标签过滤掉。

支持标签过滤的ECS云资源

  1. 实例
  2. 磁盘
  3. 共享块存储
  4. 快照
  5. 镜像
  6. 弹性网卡
  7. 安全组
  8. 密钥对

扩展阅读

关于标签的更多知识:ECS TAG功能详解

上一篇:阿里云推出香港高防IP服务 为中国企业出海安全护航


下一篇:【ECS控制台新功能】自助排查问题的利器--操作审计