若您的公司购买了多种阿里云资源,您可以通过创建资源组进行云资源分组,从而实现独立管理资源组内成员、权限和资源。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册

背景信息

某游戏公司 A 正在开发 3 个游戏项目,每个游戏项目都会用到多种云资源。公司 A 只有 1 个阿里云账号,该云账号下有超过 100 个 ECS 实例。

公司 A 有如下要求:
  • 项目独立管理:每个管理员各自能够独立管理项目人员及其访问权限。
  • 按项目分账:财务部门希望能够根据项目进行出账,以解决财务成本分摊的问题。
  • 共享底层网络:客户希望云资源的底层网络默认共享。

公司 A 有如下解决方案:

  • 多账号方案
    • 可以满足项目独立管理:公司 A 注册 3 个账号(对应 3 个项目),每个账号有对应项目管理员可以独立管理成员及其访问权限。
    • 可以满足按项目分账:每个账号有默认账单,可以利用阿里云提供的多账号合并记账能力来解决统一账单和发票问题。
    • 无法满足共享底层网络:账号之间是有安全边界的,不同账号之间的资源是 100% 隔离的,网络之间默认不通。虽然可以通过 VPC-Peering 来打通跨账号的 VPC 网络,但会带来较高的管理成本。
  • 单账号给资源打标签方案
    • 无法满足项目独立管理:给资源打标签可以模拟项目分组,但无法解决项目管理员独立管理项目成员及其访问权限的问题。
    • 可以满足按项目分账:按照项目组给资源打上对应标签,根据标签实现分账。
    • 可以满足共享底层网络:公司 A 只用 1 个账号,根据项目打不同的项目标签,结合 RAM 提供的基于标签的条件授权能力,可以将一组资源授权给某些 RAM 用户,不存在打通网络所需的额外管理成本。
  • 资源组管理方案
    • 可以满足项目独立管理:每个资源组有对应的管理员,资源组管理员可以独立管理成员及其访问权限。
    • 可以满足按项目分账:账单管理功能支持按资源组进行分账,解决财务成本分摊的问题。
    • 可以满足共享底层网络:资源组属于账号内部的分组功能,同一账号下的不同资源组可以共享同一个 VPC 网络,节约管理成本。

解决方案

资源组是在阿里云账号下进行资源分组管理的一种机制,公司 A 只需使用 1 个账号,创建 3 个资源组(对应 3 个项目)。



  1. 创建 3个 RAM 用户:alice@secloud.onaliyun.combob@secloud.onaliyun.comcharlie@secloud.onaliyun.com

    详情请参考:创建 RAM 用户

    说明 下面的操作均以 RAM 用户 Alice 为例,介绍如何将其设为项目的管理员。
  2. 登录资源管理控制台
  3. 单击左侧导航栏的资源组管理,单击新建资源组
  4. 输入标识显示名后,单击确定
    说明 创建 3 个资源组,分别命名为:Game1、Game2、Game3。
  5. 找到创建好的资源组,单击管理权限
  6. 权限管理页签下,单击新增授权
  7. 被授权主体区域下,输入 Alice,单击其名称。
  8. 权限策略名称列表下,单击AdministratorAccess
  9. 单击确定
说明 如何将 Bob 或 Charlie 设置为资源组管理员,请参考上述步骤。

下一步

由于 Alice、Bob 和 Charlie 分别是 Game1、Game2、Game3 的资源组管理员,将有以下权限:
  • 登录 ECS 控制台,可以看到游戏 1 资源组,并可以创建和管理 ECS 实例。
  • 登录资源管理控制台,可以添加其它 RAM 用户并授予相应的资源访问权限。