当您使用资源组对资源进行分组管理时,可以结合访问控制(RAM),在单个阿里云账号内实现资源的隔离和精细化权限管理。本文总结了智能接入网关对资源组的支持情况,以及资源组级别的授权操作步骤。
-
只有支持资源组的资源类型和支持资源组级别授权的操作,资源组级别授权才能生效。
-
对于不支持资源组的资源类型,授予资源组范围的权限将无效。在选择资源范围时,请选择账号级别,进行账号级别授权。具体操作,请参见不支持资源组级别授权的操作。
资源组授权的工作原理
您可以使用资源组(Resource Group)对阿里云账号内的资源进行分组管理。例如,为不同的项目创建对应的资源组,并将资源转移到对应的组中,以便集中管理各项目的资源。更多信息,请参见什么是资源组。
在完成资源分组后,您可以为不同的RAM授权主体(RAM用户、RAM用户组或RAM角色)授予指定资源组范围的权限,从而限定这个授权主体只能管理该资源组内的资源。更多信息,请参见资源分组和授权。
这种授权方式的优点有:
-
权限精细化:确保每个身份能获得最准确的资源访问权限,避免账号下的多个项目的资源混合管理。
-
良好的扩展性:后续新增资源时,只需将其加入该资源组,RAM身份便会自动获得新资源的相应权限,无需再次授权。
为RAM用户授予资源组级别的权限
下面以RAM用户为例,介绍授予指定资源组内智能接入网关资源权限的操作步骤。
1. 前置步骤
2. 进行资源组级别授权
您可以通过以下任一方式进行资源组级别授权。
方式一:在资源管理控制台中授权
通过资源组的权限管理功能为指定 RAM 用户授权。详情操作可参见为RAM身份授予资源组范围的权限。
方式二:在 RAM 控制台中授权
通过RAM控制台为指定 RAM 用户进行资源组级别授权。详细操作可参见为RAM用户授权。
支持资源组的资源类型
智能接入网关支持资源组的资源类型如下表所示:
|
云服务 |
云服务代码 |
资源类型 |
|
智能接入网关 |
smartag |
acl : 访问控制 |
|
智能接入网关 |
smartag |
ccn : 云连接网 |
|
智能接入网关 |
smartag |
flowlog : 流日志 |
|
智能接入网关 |
smartag |
intelligentrouting : 智能路选 |
|
智能接入网关 |
smartag |
qos : 服务质量 |
|
智能接入网关 |
smartag |
smartag : 实例 |
|
智能接入网关 |
smartag |
smartag_s : 智能接入网关App |
对于暂不支持资源组的资源类型,如有需要,您可以在资源组控制台提交反馈。
不支持资源组级别授权的操作
智能接入网关中不支持资源组级别授权的操作(Action)如下:
|
操作(Action) |
操作描述 |
|
smartag:ClearSagCipher |
重置智能接入网关(VCPE)设备密钥。 |
|
smartag:CreateApplicationBandwidthPackage |
- |
|
smartag:CreateEnterpriseCode |
调用CreateEnterpriseCode创建企业码。 |
|
smartag:CreateIntelligentRouting |
- |
|
smartag:CreateResellerInstance |
- |
|
smartag:CreateSagSoftwareAuditSubscription |
- |
|
smartag:CreateSmartAGForResellerInstance |
- |
|
smartag:DeleteEnterpriseCode |
调用DeleteEnterpriseCode删除指定企业码。 |
|
smartag:DeleteProbeTask |
- |
|
smartag:DeleteResellerInstance |
- |
|
smartag:DescribeGatewayIntelligentRoutings |
- |
|
smartag:DescribeGatewayQoses |
- |
|
smartag:DescribeGatewayValidIROutboundPorts |
- |
|
smartag:DescribeSAGDeviceARPInfo |
- |
|
smartag:DescribeSagDropTopN |
查询指定地域丢包率前10名的智能接入网关实例。 |
|
smartag:DescribeSagOnlineClientStatistics |
查询当前用户智能接入网关APP实例在线连接数据。 |
|
smartag:DescribeSagRouteableAddress |
- |
|
smartag:DescribeSagTrafficTopN |
查询指定地域流量速率为前10名的智能接入网关实例。 |
|
smartag:DescribeSmartAccessGatewayRoutes |
- |
|
smartag:DownloadSagAuditRecord |
- |
|
smartag:ExportSagAuditRecord |
- |
|
smartag:GetApPortalAttribute |
- |
|
smartag:GetApRadioAttribute |
- |
|
smartag:GetApplicationBandwidthPackageAttribute |
- |
|
smartag:GetBranchAttribute |
- |
|
smartag:GetBranchBasicNetworkAttribute |
- |
|
smartag:GetBranchDeviceCount |
- |
|
smartag:GetCloudConnectNetworkUseLimit |
查询当前账号在指定区域内的云连接网个数限制。 |
|
smartag:GetDeviceAttribute |
- |
|
smartag:GetQosAttribute |
调用GetQosAttribute接口查询QoS策略实例信息。 |
|
smartag:GetSagAuditRecordDownLoadUrl |
- |
|
smartag:GetSmartAccessGatewayUseLimit |
调用GetSmartAccessGatewayUseLimit查询可购买的智能接入网关数量。 |
|
smartag:GetTopology |
- |
|
smartag:ListAlarmRecordCounts |
- |
|
smartag:ListApMonitorDataTopN |
- |
|
smartag:ListApSsids |
- |
|
smartag:ListApplicationAccelerateRules |
- |
|
smartag:ListAuthenticationTemplate |
- |
|
smartag:ListAuthorizedBranch |
- |
|
smartag:ListBranchAlarmDataTopN |
- |
|
smartag:ListBranches |
- |
|
smartag:ListDevices |
- |
|
smartag:ListEnterpriseCode |
调用ListEnterpriseCode接口查询企业码信息。 |
|
smartag:ListEventAlarmRecords |
- |
|
smartag:ListGatewayACLs |
- |
|
smartag:ListGatewayMonitorDataTopN |
- |
|
smartag:ListGatewayPorts |
- |
|
smartag:ListGatewayRouters |
- |
|
smartag:ListGatewayWifiRadio |
- |
|
smartag:ListGatewayWifiSsids |
- |
|
smartag:ListMonitorAlarmRecords |
- |
|
smartag:ListMonitorDataTopN |
- |
|
smartag:ListPPPOEProvidersAlarmData |
- |
|
smartag:ListProbeAlarmRecords |
- |
|
smartag:ListProbeTask |
查询拨测任务。 |
|
smartag:ListResellerInstances |
- |
|
smartag:ListSagAuditRecord |
- |
|
smartag:ListSagAuditRecordParam |
- |
|
smartag:ListSagAuditSubscription |
- |
|
smartag:ListSagSoftwareAuditRecord |
- |
|
smartag:ListSagSoftwareAuditRecordParam |
- |
|
smartag:ListSagSoftwareAuditSubscription |
- |
|
smartag:ListSmartAGByAccessPoint |
查询指定地域内指定接入点下智能接入网关实例信息。 |
|
smartag:ListStationMonitorDataTopN |
- |
|
smartag:ListTerminalProbeAlarmRecords |
- |
|
smartag:ListUnsupportedFeatures |
- |
|
smartag:ModifyFlowLogAttribute |
编辑流日志的名称和描述。 |
|
smartag:ModifyQosCar |
调用ModifyQosCar接口修改QoS限速规则。 |
|
smartag:ModifyQosPolicy |
调用ModifyQosPolicy接口修改QoS策略流分类规则。 |
|
smartag:ModifySagGlobalRouteProtocol |
调用ModifySagGlobalRouteProtocol修改全局路由协议。 |
|
smartag:ModifySagPortRouteProtocol |
调用ModifySagPortRouteProtocol修改端口路由协议。 |
|
smartag:RemoveApSsid |
- |
|
smartag:ReserveSmartAG |
- |
|
smartag:UpdateEnterpriseCode |
调用UpdateEnterpriseCode更改指定企业码的属性。 |
|
smartag:UpdateResellerInstanceAttribute |
- |
|
smartag:ViewSmartAccessGatewayDeviceAttributes |
- |
对于不支持资源组授权的操作,授权时资源范围选择资源组级别将无效。如果仍需要RAM用户有上述操作权限,您需要创建自定义权限策略,授权时资源范围选择账号级别。
以下是两个自定义权限策略示例,您可以根据实际需要调整策略内容。
-
允许不支持资源组级别授权的全部只读操作:
Action中列举不支持资源组级别授权的所有只读操作。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "smartag:DescribeGatewayIntelligentRoutings", "smartag:DescribeGatewayQoses", "smartag:DescribeGatewayValidIROutboundPorts", "smartag:DescribeSAGDeviceARPInfo", "smartag:DescribeSagDropTopN", "smartag:DescribeSagOnlineClientStatistics", "smartag:DescribeSagRouteableAddress", "smartag:DescribeSagTrafficTopN", "smartag:DescribeSmartAccessGatewayRoutes", "smartag:GetApPortalAttribute", "smartag:GetApRadioAttribute", "smartag:GetApplicationBandwidthPackageAttribute", "smartag:GetBranchAttribute", "smartag:GetBranchBasicNetworkAttribute", "smartag:GetBranchDeviceCount", "smartag:GetCloudConnectNetworkUseLimit", "smartag:GetDeviceAttribute", "smartag:GetQosAttribute", "smartag:GetSagAuditRecordDownLoadUrl", "smartag:GetSmartAccessGatewayUseLimit", "smartag:GetTopology", "smartag:ListAlarmRecordCounts", "smartag:ListApMonitorDataTopN", "smartag:ListApSsids", "smartag:ListApplicationAccelerateRules", "smartag:ListAuthenticationTemplate", "smartag:ListAuthorizedBranch", "smartag:ListBranchAlarmDataTopN", "smartag:ListBranches", "smartag:ListDevices", "smartag:ListEnterpriseCode", "smartag:ListEventAlarmRecords", "smartag:ListGatewayACLs", "smartag:ListGatewayMonitorDataTopN", "smartag:ListGatewayPorts", "smartag:ListGatewayRouters", "smartag:ListGatewayWifiRadio", "smartag:ListGatewayWifiSsids", "smartag:ListMonitorAlarmRecords", "smartag:ListMonitorDataTopN", "smartag:ListPPPOEProvidersAlarmData", "smartag:ListProbeAlarmRecords", "smartag:ListProbeTask", "smartag:ListResellerInstances", "smartag:ListSagAuditRecord", "smartag:ListSagAuditRecordParam", "smartag:ListSagAuditSubscription", "smartag:ListSagSoftwareAuditRecord", "smartag:ListSagSoftwareAuditRecordParam", "smartag:ListSagSoftwareAuditSubscription", "smartag:ListSmartAGByAccessPoint", "smartag:ListStationMonitorDataTopN", "smartag:ListTerminalProbeAlarmRecords", "smartag:ListUnsupportedFeatures" ], "Resource": "*" } ] } -
允许不支持资源组级别授权的全部操作:
Action中列举不支持资源组级别授权的全部操作。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "smartag:ClearSagCipher", "smartag:CreateApplicationBandwidthPackage", "smartag:CreateEnterpriseCode", "smartag:CreateIntelligentRouting", "smartag:CreateResellerInstance", "smartag:CreateSagSoftwareAuditSubscription", "smartag:CreateSmartAGForResellerInstance", "smartag:DeleteEnterpriseCode", "smartag:DeleteProbeTask", "smartag:DeleteResellerInstance", "smartag:DescribeGatewayIntelligentRoutings", "smartag:DescribeGatewayQoses", "smartag:DescribeGatewayValidIROutboundPorts", "smartag:DescribeSAGDeviceARPInfo", "smartag:DescribeSagDropTopN", "smartag:DescribeSagOnlineClientStatistics", "smartag:DescribeSagRouteableAddress", "smartag:DescribeSagTrafficTopN", "smartag:DescribeSmartAccessGatewayRoutes", "smartag:DownloadSagAuditRecord", "smartag:ExportSagAuditRecord", "smartag:GetApPortalAttribute", "smartag:GetApRadioAttribute", "smartag:GetApplicationBandwidthPackageAttribute", "smartag:GetBranchAttribute", "smartag:GetBranchBasicNetworkAttribute", "smartag:GetBranchDeviceCount", "smartag:GetCloudConnectNetworkUseLimit", "smartag:GetDeviceAttribute", "smartag:GetQosAttribute", "smartag:GetSagAuditRecordDownLoadUrl", "smartag:GetSmartAccessGatewayUseLimit", "smartag:GetTopology", "smartag:ListAlarmRecordCounts", "smartag:ListApMonitorDataTopN", "smartag:ListApSsids", "smartag:ListApplicationAccelerateRules", "smartag:ListAuthenticationTemplate", "smartag:ListAuthorizedBranch", "smartag:ListBranchAlarmDataTopN", "smartag:ListBranches", "smartag:ListDevices", "smartag:ListEnterpriseCode", "smartag:ListEventAlarmRecords", "smartag:ListGatewayACLs", "smartag:ListGatewayMonitorDataTopN", "smartag:ListGatewayPorts", "smartag:ListGatewayRouters", "smartag:ListGatewayWifiRadio", "smartag:ListGatewayWifiSsids", "smartag:ListMonitorAlarmRecords", "smartag:ListMonitorDataTopN", "smartag:ListPPPOEProvidersAlarmData", "smartag:ListProbeAlarmRecords", "smartag:ListProbeTask", "smartag:ListResellerInstances", "smartag:ListSagAuditRecord", "smartag:ListSagAuditRecordParam", "smartag:ListSagAuditSubscription", "smartag:ListSagSoftwareAuditRecord", "smartag:ListSagSoftwareAuditRecordParam", "smartag:ListSagSoftwareAuditSubscription", "smartag:ListSmartAGByAccessPoint", "smartag:ListStationMonitorDataTopN", "smartag:ListTerminalProbeAlarmRecords", "smartag:ListUnsupportedFeatures", "smartag:ModifyFlowLogAttribute", "smartag:ModifyQosCar", "smartag:ModifyQosPolicy", "smartag:ModifySagGlobalRouteProtocol", "smartag:ModifySagPortRouteProtocol", "smartag:RemoveApSsid", "smartag:ReserveSmartAG", "smartag:UpdateEnterpriseCode", "smartag:UpdateResellerInstanceAttribute", "smartag:ViewSmartAccessGatewayDeviceAttributes" ], "Resource": "*" } ] }
获得账号级别权限的RAM用户或RAM角色,能够操作整个账号范围内的相关资源。请务必确认所授予的权限是否符合预期,遵从最小授权原则谨慎分配权限。
常见问题
如何查看当前资源属于哪个资源组?
-
方式一:单击资源名称,进入资源的详情页面,即可查看到当前资源的资源组。
-
方式二:登录资源管理控制台,单击,在左侧选择目标资源所属账号(默认为当前账号),通过筛选条件定位目标资源,即可查看其所属资源组。
如何查看当前产品在某个资源组下的所有资源?
如何批量修改多个资源的资源组?
登录资源管理控制台,单击,在目标资源组所在行的操作列下,单击资源管理以进入资源管理页面。通过筛选条件定位多个目标资源,批量勾选第一列的复选框后单击下方转移资源组,并按页面提示完成资源组修改。