如果阿里云账号下存在多种用途或区分部门的ECS实例,通过设置全局标签,RAM用户可以快速通过标签筛选出符合要求的ECS资源,例如实例、镜像、快照、云盘、弹性网卡、安全组和密钥对等。本文以RAM用户下同时包含用于线上环境和测试环境用途的实例,和不同的部门只能管理其职能范围内的实例为例,为您介绍全局标签筛选指定实例的具体方法。
使用限制
全局标签的使用限制如下:
全局标签目前仅适用于RAM用户。
每个RAM用户仅支持设置一个全局标签。
每个全局标签最多可过滤1000个云资源,超出范围内的资源不会被展示出来。
场景一:资源分组
假设您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。
用于线上生产环境的实例Online1、Online2、Online3、Online4
用于测试环境的实例TestInstance1、TestInstance2
使用主账号创建RAM用户。具体操作,请参见创建RAM用户。
通过RAM授权或资源组授权的方式为RAM用户添加权限并进行相应的准备工作。
方式一:RAM授权
方式二:资源组授权
使用主账号登录ECS控制台。
分别创建名称为Online1、Online2、Online3、Online4的实例。
创建实例时,在管理设置区域将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例。
分别创建名称为TestInstance1和TestInstance2的实例。
创建实例时,在管理设置区域将每个实例的标签设置为环境:测试。
创建资源组测试组和线上组。
具体操作,请参见创建资源组。
将实例Online1、Online2、Online3、Online4添加到线上组中,将实例TestInstance1、TestInstance2添加到测试组中。
具体操作,请参见跨资源组转移资源。
在资源组测试组和线上组中添加已创建的RAM用户,并为该RAM用户授予AliyunECSFullAccess权限。
具体操作,请参见添加RAM身份并授权。
使用已授权的RAM用户登录ECS控制台。
在左侧导航栏,单击
,单击实例页面右上角的设置全局标签。在编辑全局标签对话框中,配置全局标签并单击确定。
当全局标签设置为环境:测试时,用于测试环境的实例TestInstance1和TestInstance2都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。
场景二:权限分组
在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。本场景以财务部和IT部为例,介绍全局标签在权限分组中的应用方法。
使用主账号为财务部和IT部创建实例。
使用主账号为财务部和IT部创建账号并授权。
使用主账号登录RAM控制台。
创建RAM用户,账号A为财务部,账号B为IT部。具体步骤请参见创建RAM用户。
使用以下策略在RAM控制台创建自定义策略,并授权给财务部账号A。具体步骤请参见创建自定义权限策略和为RAM用户授权。
{ "Version": "1", "Statement": [ { "Action": [ "ecs:DescribeTagKeys", "ecs:ListTagResources", "ecs:DescribeTags" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:*" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ecs:tag/部门": "财务部" } } }, { "Action": [ "ecs:Create*", "ecs:Run*", "ecs:Delete*", "ecs:Release*", "ecs:Allocate*" ], "Resource": "*", "Effect": "Deny" } ] }
使用以下策略在RAM控制台创建自定义策略,并授权给IT部账号B。
{ "Version": "1", "Statement": [ { "Action": [ "ecs:DescribeTagKeys", "ecs:ListTagResources", "ecs:DescribeTags" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:*" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ecs:tag/部门": "IT部" } } }, { "Action": [ "ecs:Create*", "ecs:Run*", "ecs:Delete*", "ecs:Release*", "ecs:Allocate*" ], "Resource": "*", "Effect": "Deny" } ] }
使用IT部账号B登录ECS控制台。
在左侧导航栏,单击
,单击实例页面右上角的设置全局标签。在编辑全局标签对话框中,配置全局标签并单击确定。
当全局标签设置为部门:IT时,授权给IT部的实例IT1和IT2都会出现在账号B的实例列表中,而授权给财务部的实例则不会在该列表中显示出来。
- 本页导读 (1)