资源组对您拥有的云资源从用途、权限、归属等维度上进行分组,实现企业内部多用户、多项目的资源分级管理,实现比云账号更细粒度的鉴权。若您拥有多款计算巢服务实例,您可以将不同的服务实例按照您的分类需求放入不同的资源组中来进行分组分权管理。
背景信息
资源组的使用限制如下:
计算巢支持资源组的云资源包括服务和服务实例。
不允许跨账号在资源组之间转移云资源。
一个云资源只能属于一个资源组。
资源组会继承RAM账号的全局权限。即如果您授权RAM账号管理所有的阿里云资源,那么主账号下所有的资源组都会在该RAM账户中显示出来。
功能介绍
此处以用户拥有服务实例A和服务实例B两个服务实例,且希望分别让用户A和用户B来运营,保证用户A只有服务实例A的权限,用户B只有服务实例B的权限为例,介绍如何使用计算巢资源组进行分权管理。
在资源组控制台创建两个资源组,分别命名为资源组A和资源组B。具体步骤,请参见创建资源组。
在资源组A中添加用户A的授权,在资源组B中添加用户B的授权。计算巢用户侧对用户A和用户B添加AliyunComputeNestUserFullAccess的权限。若还需要其他权限,可根据需求对用户A和用户B进行授权。具体步骤,请参见添加RAM身份并授权。
创建服务实例时,设置服务实例A的资源组为资源组A,设置服务实例B的资源组为资源组B。如果此处选择了资源组A,在后续选择已有的资源时也会限制只能从资源组A中选择,以此来确保服务实例及其依赖的资源处于同一个资源组中。
当用户登录计算巢控制台后,在控制台顶部菜单栏左上角处,单击账号全部资源列表,可以看到可供选择的资源组。
由于用户只有某些资源组的权限,只有选择当前有权限的资源组时,才能看到该资源组下的服务实例。例如,用户A只有资源组A的权限,只有在资源列表处,选择资源组A时,才能看到该资源组下的服务实例。
创建服务实例时,如果不指定资源组,资源会放入默认资源组中,当资源的归属关系发生变化时,您可以在多个资源组之间进行资源的转移,重新调整资源的归属关系。更多信息,请参见跨资源组转移资源。
重要在跨资源组转移资源时,资源所依赖的资源不会自动转组,如果依赖资源也需要跟随转移,则需要单独转移依赖资源。