文档

全局标签最佳实践

更新时间:

如果阿里云账号下存在多种用途或区分部门的ECS实例,通过设置全局标签,RAM用户可以快速通过标签筛选出符合要求的ECS资源,例如实例、镜像、快照、云盘、弹性网卡、安全组和密钥对等。本文以RAM用户下同时包含用于线上环境和测试环境用途的实例,和不同的部门只能管理其职能范围内的实例为例,为您介绍全局标签筛选指定实例的具体方法。

使用限制

全局标签的使用限制如下:

  • 全局标签目前仅适用于RAM用户。

  • 每个RAM用户仅支持设置一个全局标签。

  • 每个全局标签最多可过滤1000个云资源,超出范围内的资源不会被展示出来。

场景一:资源分组

假设您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。

  • 用于线上生产环境的实例Online1、Online2、Online3、Online4

  • 用于测试环境的实例TestInstance1、TestInstance2

  1. 使用主账号创建RAM用户。具体操作,请参见创建RAM用户

  2. 通过RAM授权或资源组授权的方式为RAM用户添加权限并进行相应的准备工作。

    • 方式一:RAM授权

      1. 登录RAM控制台,为已创建的RAM用户配置权限。

        具体操作,请参见配置权限。本示例中我们为RAM用户授予AliyunECSFullAccess权限。

      2. 使用已授权的RAM用户登录ECS控制台

      3. 分别创建名称为Online1、Online2、Online3、Online4的实例。

        创建实例时,在管理设置区域将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例

      4. 分别创建名称为TestInstance1和TestInstance2的实例。

        创建实例时,在管理设置区域将每个实例的标签设置为环境:测试

    • 方式二:资源组授权

      1. 使用主账号登录ECS控制台

      2. 分别创建名称为Online1、Online2、Online3、Online4的实例。

        创建实例时,在管理设置区域将每个实例的标签设置为环境:线上。具体步骤,请参见创建实例

      3. 分别创建名称为TestInstance1和TestInstance2的实例。

        创建实例时,在管理设置区域将每个实例的标签设置为环境:测试

      4. 创建资源组测试组线上组

        具体操作,请参见创建资源组

      5. 将实例Online1、Online2、Online3、Online4添加到线上组中,将实例TestInstance1、TestInstance2添加到测试组中。

        具体操作,请参见跨资源组转移资源

      6. 在资源组测试组线上组中添加已创建的RAM用户,并为该RAM用户授予AliyunECSFullAccess权限。

        具体操作,请参见添加RAM身份并授权

  3. 使用已授权的RAM用户登录ECS控制台

  4. 在左侧导航栏,单击实例与镜像 > 实例,单击实例页面右上角的设置全局标签

    设置全局标签

  5. 编辑全局标签对话框中,配置全局标签并单击确定测试

    当全局标签设置为环境:测试时,用于测试环境的实例TestInstance1TestInstance2都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。

    全局标签

场景二:权限分组

在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。本场景以财务部和IT部为例,介绍全局标签在权限分组中的应用方法。

  1. 使用主账号为财务部和IT部创建实例。

    1. 使用主账号登录ECS控制台

    2. 分别创建实例Finance1和Finance2。

      创建实例时,在管理设置区域将标签设置为部门:财务部。具体步骤,请参见创建实例

    3. 分别创建实例IT1和IT2。

      创建实例时,在管理设置区域将标签设置为部门:IT部。具体步骤,请参见创建实例

  2. 使用主账号为财务部和IT部创建账号并授权。

    1. 使用主账号登录RAM控制台

    2. 创建RAM用户,账号A为财务部,账号B为IT部。具体步骤请参见创建RAM用户

    3. 使用以下策略在RAM控制台创建自定义策略,并授权给财务部账号A。具体步骤请参见创建自定义权限策略为RAM用户授权

      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:ListTagResources",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "财务部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
    4. 使用以下策略在RAM控制台创建自定义策略,并授权给IT部账号B。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:ListTagResources",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "IT部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
  3. 使用IT部账号B登录ECS控制台

  4. 在左侧导航栏,单击实例与镜像 > 实例,单击实例页面右上角的设置全局标签

    设置全局标签

  5. 编辑全局标签对话框中,配置全局标签并单击确定IT部

    当全局标签设置为部门:IT时,授权给IT部的实例IT1IT2都会出现在账号B的实例列表中,而授权给财务部的实例则不会在该列表中显示出来。

    IT

  • 本页导读 (1)
文档反馈