资源组对您拥有的云资源从用途、权限、归属等维度上进行分组,实现企业内部多用户、多项目的资源分级管理,实现比云账号更细粒度的鉴权。若您拥有多款计算巢服务时,您可以将不同的服务按照您的分类需求放入不同的资源组中来进行分组分权管理。

背景信息

资源组的使用限制如下:

  • 计算巢支持资源组的云资源包括服务和服务实例。

  • 不允许跨账号在资源组之间转移云资源。

  • 一个云资源只能属于一个资源组。

  • 资源组会继承RAM账号的全局权限。即如果您授权RAM账号管理所有的阿里云资源,那么主账号下所有的资源组都会在该RAM账户中显示出来。

功能介绍

此处以服务商拥有服务A和服务B两款服务,且希望分别让用户A和用户B来运营,保证用户A只有服务A的权限,用户B只有服务B的权限为例,介绍如何使用计算巢资源组进行分权管理。

  1. 在资源组控制台创建两个资源组,名为资源组A资源组B。具体步骤,请参见创建资源组

  2. 资源组A中添加用户A的授权,在资源组B中添加用户B的授权。计算巢商家侧对用户A和用户B添加AliyunComputeNestSupplierFullAccess的权限。若还需其他权限,可根据需求对用户A和用户B进行授权。具体步骤,请参见添加RAM身份并授权

  3. 创建服务A和服务B两个服务,设置服务A的资源组为资源组A,设置服务B的资源组为资源组B2024-04-18_15-40-46.png

  4. 服务创建完成后,当用户登录计算巢控制台后,在服务控制台顶部菜单栏左上角处,单击账号全部资源列表,可以看到可供选择的资源组。2024-04-18_15-43-51.png

  5. 由于用户只有某些资源组的权限,只有选择当前有权限的资源组时,才能看到该资源组下的服务。例如,用户A只有资源组A的权限,只有在资源列表处选择资源组A时,才能看到该资源组下的服务。2024-04-18_15-45-24.png

  6. 创建服务时,如果不指定资源组,资源会放入默认资源组中,当资源的归属关系发生变化,您可以在多个资源组之间进行资源的转移,重新调整资源归属关系。更多信息,请参见跨资源组转移资源