功能简述
对于云资源数量和种类保有很多的用户,如果全部的云资源都由一个人或一个账号来管理,不但效率低也容易出错,更大的痛楚还有2个:
- 父账号云资源太多,子账号进到控制台看到的资源很可能不是自己能操作的,每次都需要经过过滤才能找到属于自己的资源犹如海底捞针。
- 假如父账号对子账号做更详细的RAM授权,比如指定子账号只有标签A的权限,也就是说子账号进到控制台默认是看不到任何资源的,必须将过滤条件指定为按标签A过滤才能看到被授权的资源。
合理的对保有云资源从用途、权限、归属等维度上进行分组是解决这个问题的正确方式。ECS控制台近期推出新的功能--全局标签,期望能让您在做云资源分组时更加快速、便捷的找到期望的云资源。
功能介绍
- 子账号进入控制台,如果没有设置过全局标签会有提醒引导,点击设置开始设置全局标签:
- 填写正确的全局标签后点击确定,会将全局标签的设置内容显示出来,这时所有的云资源都会按全局标签过滤后的结果返回数据:
经典场景
资源分组
场景概览:
账号拥有的云资源按用途分为2类,首先是用于线上生产环境的实例A、B、C、D,其次还有用于测试环境的实例X、Y。生产环境不常做变更,只在需要做正式发布时会有操作。而测试环境需要经常做环境升级甚至实例重启的操作。为了避免对线上正式环境有影响,需要将这两类实例做出区分。
解决方法:
- 对实例A、B、C、D打上标签A(键:环境 值:线上),对实例X、Y打上标签B(键:环境 值:测试)。
- 平时开发测试时将全局标签设置为标签B,所有的云资源都会按标签B进行过滤,比如:平时仅显示实例X、Y,任何操作都仅对测试的实例执行不会影响线上实例。当需要做线上正式发布时,修改全局标签将其设置为标签A,这时过滤出的实例就是A、B、C、D了。
权限分组
场景概览:
父账号通常要管理数量众多的云资源,都由一个账号管理不但存在单点权限的风险,效率也不高。这时企业希望对不同的部门授予不同的资源和管理权限,不同的部门在控制台和API中只能查看和管理属于自己的云资源,降低风险的同时也提升了管理效率。如:创建两个子账号,各自管理财务部和IT部的云资源。
解决方法:
如果希望子账号在控制台API只能查看和管理属于自己的云资源,需要借助RAM的授权管理:
- 在RAM创建2个子账号,账号A:财务部,账号B:IT部。
- 对实例X、Y打上标签A(键:部门 值:财务部),对实例A、B、C、D打上标签B(键:部门 值:IT部)。
- 对账号A进行授权:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeTagKeys",
"ecs:DescribeTags"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:*"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ecs:tag/部门": "财务部"
}
}
},
{
"Action": [
"ecs:Create*",
"ecs:Run*",
"ecs:Delete*",
"ecs:Release*",
"ecs:Allocate*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}- 对账号B进行授权:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeTagKeys",
"ecs:DescribeTags"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:*"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ecs:tag/部门": "IT部"
}
}
},
{
"Action": [
"ecs:Create*",
"ecs:Run*",
"ecs:Delete*",
"ecs:Release*",
"ecs:Allocate*"
],
"Resource": "*",
"Effect": "Deny"
}
]
}- 账号A登陆控制台后,如果没有设置全局标签是看不到任何云资源的,这时将全局资源设置为标签A(键:部门 值:财务部)后,所有属于财务部的云资源都显示出来并能操作了,IT部的设置同理。
使用限制和注意事项
全局标签是基于标签系统实现,在使用时有几个限制:
- 仅支持设置一个全局标签。
- 一个全局标签,最大支持过滤1000个云资源。建议您不要对单一标签关联过多云资源。
- 全局标签目前仅对子账号开放。
注意事项:
- 创建云资源时目前还没有感知全局标签,如果使用全局标签,需要您在创建云资源时手工先在标签中打上全局标签,避免新的云资源在创建后被全局标签过滤掉。
支持标签过滤的ECS云资源
- 实例
- 磁盘
- 共享块存储
- 快照
- 镜像
- 弹性网卡
- 安全组
- 密钥对
扩展阅读
关于标签的更多知识:ECS TAG功能详解
