资源组 —— 助你轻松解决单账户内的资源分组管理难题

简介: 最近,阿里云ResourceManager服务新增了“资源组管理”功能,以帮助客户解决企业内部多用户、多项目的资源分级管理难题。使用资源组管理,您可以对单个云账号下多个地域、多种资源进行统一的分组管理;您也可以给各个资源组设置完全独立的管理员,实现在资源组范围内的用户与权限管理;您还可以按资源组维度查看您的账单消费数据,以解决不同项目的分账问题。

最近,阿里云ResourceManager服务新增了“资源组管理”功能,以帮助客户解决企业内部多用户、多项目的资源分级管理难题。使用资源组管理,您可以对单个云账号下多个地域、多种资源进行统一的分组管理;您也可以给各个资源组设置完全独立的管理员,实现在资源组范围内的用户与权限管理;您还可以按资源组维度查看您的账单消费数据,以解决不同项目的分账问题。(如果您的企业拥有多个云账号,ResourceManager后续也将提供多账号管理能力,敬请期待)

下面我们一起来了解下ResourceManager的资源组管理。

基本概念

阿里云账户(Account)

  • 云账户是云资源的容器,例如:阿里云ECS实例、RDS数据库实例、OSS存储桶等。
  • 云账号是阿里云账户的身份标识。
  • 云账号是阿里云多租户资源隔离的安全边界。
  • 云账号是云资源属主(Owner),对云资源拥有root权限。
  • 云账号可以将其拥有的一组子权限集授予给RAM用户、用户组或RAM角色。

资源组(ResourceGroup, 简称RG)

  • 一个云账户通常包含一个默认资源组和多个自定义的资源组。
  • 一个资源只能唯一归属于某一个资源组。
  • 任意时刻都可以向资源组添加或移除资源。
  • 允许将资源从一个资源组移动到另一个资源组(但不允许跨账号)。
  • 一个资源组可以包含不同地域的云资源。
  • 支持在指定资源组范围(而不是云账户范围)对用户进行授权。
  • 可以按应用/项目管理的视角对云资源进行分组:具有相同生命周期的资源(一起部署、升级或删除)一般会放在同一个分组。
  • 同一账户内不同资源组中的资源可以进行关联,即允许不同生命周期的两个资源建立关联关系。比如,资源组1中的ECS实例可以加入资源组2中创建的VPC。

Account范围的授权管理

账户级别授权的含义是,给一个RAM用户附加一个Policy策略时,该策略的授权作用范围是指云账户内的所有资源(即所有资源组的资源)。大家所熟悉的经典RAM用户授权提供的就是账户级别的授权管理。

账户级别授权模型如下图所示:

account-level.png

比如给一个RAM用户授予ReadOnlyAccess策略,该策略针对账户下的所有资源(包括所有资源组)生效。

如果您只希望给RAM用户分配指定某个资源组内的资源权限,那么您需要使用资源组(RG)范围的授权管理,而不是Account范围的授权。注意,如果要取得分级管理的效果,Account范围的授权和RG范围的授权就不要同时使用。

RG范围的授权管理

资源组级别授权的含义是,当在某个资源组内添加一个RAM用户并附加一个Policy策略时,该策略的授权作用范围则仅仅是指该资源组内的所有资源。

资源组级别授权模型如下图所示:

rg-level.png

如果您是资源组的管理员(资源组的创建者会被默认设置为管理员),您可以在资源组的成员管理中添加用户并授予访问策略Policy,此时的Policy授权作用范围就只会对当前资源组内的所有资源生效。

管理员视角的操作

账户管理员授权Alice为资源组管理员

账户管理员登录并进入ResourceManager控制台,如下图所示:

ram-entr.png

账号管理员创建资源组,给资源组分配资源,并设置已经存在的RAM用户(假设为Alice)为资源组管理员。

操作如下图所示:新增成员,选择Alice,并为Alice添加AdministratorAccess授权策略。此时,在资源组范围内拥有AdministratorAccess策略的Alice即成为该资源组的管理员。

rg-authorization.png

资源组管理员Alice授予Bob日常运维操作权限

Alice作为资源组管理员,她可以自治管理资源组资源,并可以授权其他用户对该资源组的操作权限。

比如,Alice希望授权Bob拥有对该资源组中ECS实例的运维操作,那么Alice只需要在资源组的成员管理中,添加用户Bob并授权AliyunECSFullAccess,此时Bob便拥有了该资源组的ECS管理权限。

普通用户视角的操作

Bob登录阿里云进行日常运维操作

Bob 登录 后,进入ECS管理控制台,在控制台页面顶端(top-bar),Bob可以选择进入自己拥有操作权限的那些资源组。假设某账号名下拥有10个资源组,但给Bob授权了其中的三个资源组(eg, “prod环境”、“test环境”、“staging环境”)的操作管理权限,那么Bob在ECS控制台中可以选择某个资源组(eg, “test环境”)进行相应的资源操作。

rg-fig-1.jpg

注意,Bob在top-bar页面上只能看到自己有操作权限的资源组列表,并可随时进行资源组的切换。

面向资源组的财务功能

财务管理(比如账单合并或分摊)通常是企业上云的一个痛点。阿里云的财务管理系统不仅提供了多个独立云账号的账单聚合能力(进入“财务云管理” -> “关联账号财务”),而且还提供了针对单账号内资源组粒度的消费详情(进入“财务云管理” -> “资源组报表”)。

一个账号内的不同资源组消费详情样例如下图所示:

rg-billing.png

结语

本文简要介绍了阿里云ResourceManager所提供的面向资源组的分级资源管理与授权管理功能。该功能不会收费,目前已在公共云上开放公测,欢迎大家试用并提交反馈。

关于企业云上资源管理的更多场景及其解决方案,请您进一步阅读阿里云的云账号结构管理模型的最佳实践指导 —— 您需要了解的云账号管理模型

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
5月前
|
SQL 数据采集 DataWorks
DataWorks产品使用合集之如何判断自己需要多大的独享资源组
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
22 1
|
6月前
|
JavaScript 小程序 Java
校园闲置资源置换|基于SSM+vue的校园短期闲置资源置换平台的设计与实现(源码+数据库+文档)
校园闲置资源置换|基于SSM+vue的校园短期闲置资源置换平台的设计与实现(源码+数据库+文档)
75 0
|
6月前
|
SQL 弹性计算 运维
构建多账号云环境的解决方案|多账号资源全局可见及搜索
对于企业客户来说,资源通常会分布在不同的云账号内,多账号、多产品、多地域的资源结构给客户在资源管理上带来了一定的挑战。针对客户在管理资源时无全局资源视图、资源查找繁琐、问题定位链路长等痛点问题,资源中心提供了在一个面板内集中查看和检索云上资源,不受限于账号、产品、地域、资源类型,提升资源管理效率。本次分享将为您介绍如何基于资源中心实现对跨账号、跨产品、跨地域的全局资源视图及资源搜索能力,对云上资源全貌了然于心。
127 1
|
6月前
|
Kubernetes Cloud Native 安全
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
126 0
|
运维 网络安全 数据库
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(一)
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)
1065 0
|
运维 数据库
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(三)
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(三)
219 0
|
运维 数据库 数据安全/隐私保护
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(二)
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(二)
240 0
|
运维 监控 小程序
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(四)
【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)(四)
694 0
|
架构师 中间件
架构日记 - 资源成本控制
架构日记 - 资源成本控制
74 0
|
运维 API 数据安全/隐私保护
资源中心 - 助您轻松解决跨账号、跨产品、跨地域的资源搜索难题
资源中心为您提供跨账号、跨产品、跨地域的全局资源视图及资源搜索能力。
5492 0
资源中心 - 助您轻松解决跨账号、跨产品、跨地域的资源搜索难题