当账号里有100个镜像、多个不同业务的安全组、不同网段的VSwitch时,资源怎么高效管理是一个困扰账号owner的问题。为此,阿里云也推出了多种提速资源管理的工具,例如标签和资源组。
资源组是一种偏向解决方案的分组策略,有专门的控制台进行集合的资源操作(企业控制台)。在企业控制台可以对资源进行资源组间的转换,本文介绍的更偏向控制台操作(非OpenAPI操作),因此授权操作会直接在企业控制台进行。
资源组的授权和使用是两个过程(如上图),一个是给子账号授权某个资源组的权限,一个是将资源分配到各个资源组中。
资源组授权子账号
在企业控制台的“资源管理-选择资源组-成员”里面,可以管理授权本资源组的子账号。授权完成后,该子账号就有了对应资源组内资源操作权限。
该权限对应的可执行操作是:启停或操作带有此标签的资源、删除带此标签的资源、创建或创建中使用带有此标签的资源。
资源组分配资源
成员分组完成后,就需要为分组的成员授权管理的资源了,资源分配完成,子用户才真正有操作对应资源的权限。授权资源的操作只需要关心资源组和资源的关系,在上面界面的“资源”页面,就可以为本资源组转入转出资源。这样操作之后,授权的子账号就有了被转入的资源操作权限,资源也被标记为从属于此资源组。
完成成员和资源的资源组分配之后,接下来就是对云产品的操作,在ECS控制台可以通过设置最上面的资源组下拉框来选择当前的“工作资源组环境”,过滤出来的资源,都是从属于选择的资源组的。
在控制台的所有操作都是都是针对特定接口的操作,例如实例的启停、查询等,没有涉及新资源的生产,因此接下来介绍重点,实例购买页面支持基于资源组的资源分组。
创建资源时资源组的过滤
在购买页面( https://ecs-buy.aliyun.com/wizard/#/postpay/cn-hangzhou )顶端也有相同的资源组下拉菜单,这里选择之后的含义也是相同的,下面页面上能选择到的依赖资源(安全组、镜像等)也都是属于这个资源组的。对于子账号,可以通过这个选项选择自己有权限的资源组,下面选择的依赖资源如VSwitch等如果有权限也会有可选项。
在购买页面使用了资源组过滤之后,其创建出来的新实例并不一定必须归属于顶端所选择的资源组,在“分组设置”中,可以选择任意的一个资源组(但是首先要确定有另一个资源组的使用权限),但是我们建议“分组设置”中的资源组使用默认-即与顶部一致,创建出的实例也属于这个资源组,这样资源归属和分组强一致。
通过这种资源组的隔离方式,子账号在选择了资源组之后,可以顺畅操作关于授权资源组的所有资源,操作覆盖资源的所有生命周期,包括创建、查询、操作、释放,形成整体分组授权的闭环。