资源目录、资源组与标签的区别和联系

本文为您介绍资源目录、资源组与标签之间的区别和联系,以及资源组鉴权与标签鉴权的区别。

三者之间的区别

云服务

适用场景

资源隔离

管控级别

跨账号

资源目录

多账号场景。

如果企业使用多个阿里云账号管理云资源,则可以使用资源目录构建企业组织结构,对账号和资源进行集中、有序地管理。

通过账号进行资源隔离。

账号级别。

多个成员下创建的资源组和标签不互通,不能跨账号使用。

资源组

单账号场景。

如果企业使用一个阿里云账号管理所有云资源,各个分公司或项目组使用RAM用户进行日常操作,则可以使用资源组作为资源隔离和权限管理的容器。例如:

  • 资源授权

  • 资源分账

通过RAM身份和权限策略进行资源隔离。

说明

资源组授权与标签授权的区别,请参见资源组鉴权与标签鉴权的区别

资源级别。

不同阿里云账号下创建的资源组不互通,不能跨账号使用。

标签

单账号场景。

如果企业使用一个阿里云账号管理所有云资源,各个分公司或项目组使用RAM用户进行日常操作,则可以使用标签高效管理资源。例如:

  • 资源标记

  • 资源授权

  • 资源分账

  • 资源自动化运维

资源级别。

不同阿里云账号下创建的标签不互通,不能跨账号使用。

三者之间的联系

三者之间是相辅相成、能力互通、有机结合的关系。例如:集团企业一般都是由多个分公司、部门或产品项目组等组成。如果将企业比作一棵树,资源目录可以用来构建树的主干和分支,资源组和标签可以对分支上树叶进行归纳和管理。请根据企业的实际情况选择资源目录、资源组或标签三个云服务中的一个或多个组合。

三者联系

资源组鉴权与标签鉴权的区别

资源组和标签都可以将资源进行分类,在资源分类的基础上实现比账号更细粒度的权限控制。主要区别如下:

鉴权方式

适用场景

支持的云服务

授权示例

资源组

对于支持资源组的云资源,您可以将其加入资源组,然后针对资源组授权。该方式可以直接使用系统策略,操作便捷,学习成本低。对于更加精细的授权,您也可以使用自定义策略。

支持资源组的云服务

标签

对于支持标签的云资源,您可以为其绑定标签,然后针对标签授权。该方式只能在自定义策略中通过条件(Condition)指定授权的标签,使用灵活,授权粒度细,但您需要掌握自定义策略的用法,具有一定的使用门槛。

访问标签控制台,在资源类型能力项页签下的资源类型鉴权列,显示支持的资源类型。