基本概念

本文为您介绍资源管理中用到的基本概念,帮助您正确理解和使用。

资源管理

资源目录

概念

说明

管理账号

管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。

为了确保管理账号的安全,建议您:

  • 使用账号下没有资源的阿里云账号作为管理账号去开通资源目录。

  • 为管理账号创建一个RAM用户并授予资源目录的管理权限(AliyunResourceDirectoryFullAccess),使用该RAM用户管理整个资源目录。

说明

管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。

Root资源夹

Root资源夹位于资源目录的顶层,没有父资源夹。资源关系依据Root资源夹向下分布。

资源夹

资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。

成员

成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。具体如下:

  • 资源账号

    在资源目录中创建的成员默认为资源账号。资源账号禁用了root(root是阿里云账号的Administrator,所以也称为根账号或主账号)登录权限,具有更高的安全性。关于创建资源账号的具体操作,请参见创建成员

  • 云账号

    通过邀请方式加入到资源目录的阿里云账号称为云账号。云账号具有root登录权限。关于邀请阿里云账号的具体操作,请参见邀请阿里云账号加入资源目录

RDPath

RDPath是指资源实体(资源夹或成员)在资源目录中的位置信息,即从资源实体当前位置(资源实体ID)向上直到资源目录(资源目录ID)的全部路径ID组合。格式:

  • 资源夹RDPath:<资源目录ID>/<Root资源夹ID>/……/<当前资源夹ID>

  • 成员RDPath:<资源目录ID>/<Root资源夹ID>/……/<当前成员ID>。例如:成员181761095690****的RDPath为rd-r4****/r-oG****/fd-RIErN0****/fd-XVxh6D****/181761095690****

关于查看资源夹RDPath和成员RDPath的具体操作,请参见查看资源夹基本信息查看成员详情

管控策略

资源目录管控策略是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界,建立企业整体访问控制原则或局部专用原则。管控策略只定义权限边界,并不真正授予权限,您还需要在某个成员中使用访问控制(RAM)设置权限后,相应身份才具备对资源的访问权限。

关于管控策略的更多信息,请参见管控策略概述

可信服务

可信服务是指支持与资源目录组合使用的其他阿里云服务。资源目录允许可信服务访问资源目录中的成员、资源夹等信息。您可以使用管理账号或可信服务的委派管理员账号,在可信服务中基于组织进行业务管理,从而简化企业对云服务的统一管理。例如:配置审计集成资源目录后,管理账号可以在可信服务配置审计中查看所有成员的资源列表、资源配置历史和资源合规状态,并监控资源配置合规性。

关于可信服务的更多信息,请参见可信服务概述

委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务,这符合安全最佳实践的建议。

关于添加或移除委派管理员的具体操作,请参见管理委派管理员账号

资源组

概念说明
资源组资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制。资源组帮助您解决单个云账号内多项目或多应用的资源分组,以及用户授权管理的复杂性问题。

资源共享

概念

说明

共享单元

共享单元是资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name)。共享单元包括:资源所有者、资源使用者和共享的资源。

资源所有者

资源所有者是资源共享的发起方,也是共享资源的拥有者。

资源使用者

资源使用者是资源共享的受益方,对共享的资源具有特定的操作权限。

说明

资源使用者对共享资源的具体操作权限,由资源所属的云服务定义。例如:共享专有网络(VPC)的交换机(vSwitch)资源后,资源使用者的操作权限请参见共享VPC权限说明

共享的资源

共享的资源通常为某个云服务的某类资源。支持共享的资源类型,请参见支持资源共享的云服务

资源目录组织共享

资源目录组织共享是指将资源共享给整个资源目录(Root资源夹)、资源夹或成员。具体操作,请参见启用资源目录组织共享

标签

概念

说明

标签键值对

标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。

自定义标签

自定义标签是由用户自己定义的标签。更多信息,请参见创建并绑定自定义标签

预置标签

预置标签是您预先创建并作用于所有地域的一种标签,非常适合在标签规划阶段使用。您可以在标签规划阶段创建预置标签,然后在标签实施阶段绑定具体的云资源。在预置标签中系统还预置了常见的标签类型,方便您快速规划标签体系。更多信息,请参见创建预置标签

系统标签

系统标签是由系统自动生成的一种标签,只能查看,不能编辑。系统标签通常以一种相对标准化的形式呈现数据关系。在一些特定场景下,您可以借助系统标签来辅助处理业务。例如:集群关联的ECS会自动绑定集群ID的系统标签来标识归属。更多信息,请参见查看系统标签及其绑定的资源

标签编辑器

标签编辑器是集中管理资源标签的工具,可以帮助您查找跨产品、跨地域的资源。同时还可以为查找到的资源批量修改、添加、删除标签。支持导出资源列表。

创建者标签

创建者标签是阿里云自动生成并绑定到对应资源的一种系统标签,用来标识资源的创建者。创建者标签可以帮助您分析费用和账单,有效管理企业云上成本。更多信息,请参见创建者标签概述

标签策略

标签策略是用来帮助企业实施标签规范化的一种策略。通过标签策略,企业可以限定资源上必须绑定的合规标签。合规标签可以提升企业在标签分账、标签分权、自动化运维等场景的管理效率。标签策略支持单账号和多账号两种模式,可以满足企业在不同阶段对标签规范化管控的需求。更多信息,请参见标签策略概述