您可以通过设置全局标签快速地为子账号筛选出符合要求的已授权云资源。

适用范围

您可以使用全局标签过滤以下ECS云资源:

实例、镜像、快照、云盘、弹性网卡、共享块存储、安全组和密钥对。

使用限制

  • 全局标签目前仅适用于子账号。
  • 每个子账号仅支持设置一个全局标签。
  • 每个全局标签,最多可过滤1000个云资源。

应用场景一:资源分组

场景介绍

您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。
  • 用于线上生产环境的实例Online1、Online2、Online3、Online4
  • 用于测试环境的实例TestInstance1、TestInstance2

准备工作

  1. 使用主账号 创建RAM用户
  2. 通过RAM授权或资源组授权的方式为子账号添加权限并进行相应的准备工作。
    • 方式一:RAM授权
      1. 登录 RAM控制台,为已创建的RAM用户 配置权限。本示例中我们为RAM用户授予AliyunECSFullAccess 权限。
      2. 使用已授权的RAM用户登录 ECS控制台
      3. 分别创建名称为Online1、Online2、Online3、Online4的实例。注意创建实例时,在 分组设置 页面将每个实例的标签设置为 环境:线上。具体步骤请参见 创建实例
      4. 分别创建名称为TestInstance1和TestInstance2的实例,在创建实例时在 分组设置页面将每个实例的标签设置为 环境: 测试。具体步骤请参见 创建实例
    • 方式二:资源组授权
      1. 使用主账号登录 ECS控制台
      2. 分别创建名称为Online1、Online2、Online3、Online4的实例。注意在创建实例时,在 分组设置 页面将每个实例的标签设置为 环境:线上。具体步骤请参见 创建实例
      3. 分别创建名称为TestInstance1和TestInstance2的实例,在创建实例时在 分组设置页面将每个实例的标签设置为 环境: 测试。具体步骤请参见 创建实例
      4. 新建资源组 测试组线上组
      5. 将实例Online1、Online2、Online3、Online4添加到 线上组 中。将实例TestInstance1、TestInstance2添加到 测试组 中。具体操作请参见 单账号内部的资源跨组转移
      6. 在资源组中为已创建的RAM用户授权。在资源组 测试组线上组 中添加该RAM用户。具体请参见 在资源组中添加用户

操作步骤

  1. 使用子账号登录 ECS控制台
  2. 在全局标签的设置引导栏中,单击 设置,如下图所示。

  3. 文本框中填写 环境 文本框中填写 测试,单击 确定

期望结果

当全局标签设置为 环境:测试 时, 用于测试环境的实例 TestInstance1TestInstance2 都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。

应用场景二:权限分组

场景介绍

在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。下面以财务部和IT部为例,为您介绍全局标签在权限分组中的应用方法。

准备工作

第一步,使用主账号为财务部和IT部创建实例。

  1. 使用主账号登录 ECS控制台
  2. 分别创建实例Finance1和Finance2。注意在创建实例时,在 分组设置 页面将标签设置为 部门:财务部。具体步骤请参见 创建实例
  3. 分别创建实例 IT1和 IT2。注意在创建实例时,在 分组设置 页面将标签设置为 部门:IT部 。具体步骤请参见 创建实例

第二步,使用主账号为财务部和IT部创建账号并授权。

  1. 使用主账号登录 RAM控制台
  2. 创建 RAM 用户,账号A为财务部,账号B为IT部。
  3. 使用以下授权策略为 财务部账号A 进行 RAM 授权
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ecs:DescribeTagKeys",
            "ecs:DescribeTags"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ecs:*"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ecs:tag/部门": "财务部"
            }
          }
        },
        {
          "Action": [
            "ecs:Create*",
            "ecs:Run*",
            "ecs:Delete*",
            "ecs:Release*",
            "ecs:Allocate*"
          ],
          "Resource": "*",
          "Effect": "Deny"
        }
      ]
    }
  4. 使用以下授权策略为 IT部账号B 授权。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ecs:DescribeTagKeys",
            "ecs:DescribeTags"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ecs:*"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ecs:tag/部门": "IT部"
            }
          }
        },
        {
          "Action": [
            "ecs:Create*",
            "ecs:Run*",
            "ecs:Delete*",
            "ecs:Release*",
            "ecs:Allocate*"
          ],
          "Resource": "*",
          "Effect": "Deny"
        }
      ]
    }

操作步骤

  1. 使用 IT部账号B 登录 ECS控制台
  2. 在全局标签的设置引导栏中,单击 设置,如下图所示。

  3. 文本框中填写 部门 文本框中填写 IT部,单击 确定

期望结果

授权给 IT部 的实例 IT1IT2 都会出现在 账号B 的实例列表中,如下图所示。