资源组 —— 助你轻松解决单账户内的资源分组管理难题

简介: 最近,阿里云ResourceManager服务新增了“资源组管理”功能,以帮助客户解决企业内部多用户、多项目的资源分级管理难题。使用资源组管理,您可以对单个云账号下多个地域、多种资源进行统一的分组管理;您也可以给各个资源组设置完全独立的管理员,实现在资源组范围内的用户与权限管理;您还可以按资源组维度查看您的账单消费数据,以解决不同项目的分账问题。

最近,阿里云ResourceManager服务新增了“资源组管理”功能,以帮助客户解决企业内部多用户、多项目的资源分级管理难题。使用资源组管理,您可以对单个云账号下多个地域、多种资源进行统一的分组管理;您也可以给各个资源组设置完全独立的管理员,实现在资源组范围内的用户与权限管理;您还可以按资源组维度查看您的账单消费数据,以解决不同项目的分账问题。(如果您的企业拥有多个云账号,ResourceManager后续也将提供多账号管理能力,敬请期待)

下面我们一起来了解下ResourceManager的资源组管理。

基本概念

阿里云账户(Account)

  • 云账户是云资源的容器,例如:阿里云ECS实例、RDS数据库实例、OSS存储桶等。
  • 云账号是阿里云账户的身份标识。
  • 云账号是阿里云多租户资源隔离的安全边界。
  • 云账号是云资源属主(Owner),对云资源拥有root权限。
  • 云账号可以将其拥有的一组子权限集授予给RAM用户、用户组或RAM角色。

资源组(ResourceGroup, 简称RG)

  • 一个云账户通常包含一个默认资源组和多个自定义的资源组。
  • 一个资源只能唯一归属于某一个资源组。
  • 任意时刻都可以向资源组添加或移除资源。
  • 允许将资源从一个资源组移动到另一个资源组(但不允许跨账号)。
  • 一个资源组可以包含不同地域的云资源。
  • 支持在指定资源组范围(而不是云账户范围)对用户进行授权。
  • 可以按应用/项目管理的视角对云资源进行分组:具有相同生命周期的资源(一起部署、升级或删除)一般会放在同一个分组。
  • 同一账户内不同资源组中的资源可以进行关联,即允许不同生命周期的两个资源建立关联关系。比如,资源组1中的ECS实例可以加入资源组2中创建的VPC。

Account范围的授权管理

账户级别授权的含义是,给一个RAM用户附加一个Policy策略时,该策略的授权作用范围是指云账户内的所有资源(即所有资源组的资源)。大家所熟悉的经典RAM用户授权提供的就是账户级别的授权管理。

账户级别授权模型如下图所示:

account-level.png

比如给一个RAM用户授予ReadOnlyAccess策略,该策略针对账户下的所有资源(包括所有资源组)生效。

如果您只希望给RAM用户分配指定某个资源组内的资源权限,那么您需要使用资源组(RG)范围的授权管理,而不是Account范围的授权。注意,如果要取得分级管理的效果,Account范围的授权和RG范围的授权就不要同时使用。

RG范围的授权管理

资源组级别授权的含义是,当在某个资源组内添加一个RAM用户并附加一个Policy策略时,该策略的授权作用范围则仅仅是指该资源组内的所有资源。

资源组级别授权模型如下图所示:

rg-level.png

如果您是资源组的管理员(资源组的创建者会被默认设置为管理员),您可以在资源组的成员管理中添加用户并授予访问策略Policy,此时的Policy授权作用范围就只会对当前资源组内的所有资源生效。

管理员视角的操作

账户管理员授权Alice为资源组管理员

账户管理员登录并进入ResourceManager控制台,如下图所示:

ram-entr.png

账号管理员创建资源组,给资源组分配资源,并设置已经存在的RAM用户(假设为Alice)为资源组管理员。

操作如下图所示:新增成员,选择Alice,并为Alice添加AdministratorAccess授权策略。此时,在资源组范围内拥有AdministratorAccess策略的Alice即成为该资源组的管理员。

rg-authorization.png

资源组管理员Alice授予Bob日常运维操作权限

Alice作为资源组管理员,她可以自治管理资源组资源,并可以授权其他用户对该资源组的操作权限。

比如,Alice希望授权Bob拥有对该资源组中ECS实例的运维操作,那么Alice只需要在资源组的成员管理中,添加用户Bob并授权AliyunECSFullAccess,此时Bob便拥有了该资源组的ECS管理权限。

普通用户视角的操作

Bob登录阿里云进行日常运维操作

Bob 登录 后,进入ECS管理控制台,在控制台页面顶端(top-bar),Bob可以选择进入自己拥有操作权限的那些资源组。假设某账号名下拥有10个资源组,但给Bob授权了其中的三个资源组(eg, “prod环境”、“test环境”、“staging环境”)的操作管理权限,那么Bob在ECS控制台中可以选择某个资源组(eg, “test环境”)进行相应的资源操作。

rg-fig-1.jpg

注意,Bob在top-bar页面上只能看到自己有操作权限的资源组列表,并可随时进行资源组的切换。

面向资源组的财务功能

财务管理(比如账单合并或分摊)通常是企业上云的一个痛点。阿里云的财务管理系统不仅提供了多个独立云账号的账单聚合能力(进入“财务云管理” -> “关联账号财务”),而且还提供了针对单账号内资源组粒度的消费详情(进入“财务云管理” -> “资源组报表”)。

一个账号内的不同资源组消费详情样例如下图所示:

rg-billing.png

结语

本文简要介绍了阿里云ResourceManager所提供的面向资源组的分级资源管理与授权管理功能。该功能不会收费,目前已在公共云上开放公测,欢迎大家试用并提交反馈。

关于企业云上资源管理的更多场景及其解决方案,请您进一步阅读阿里云的云账号结构管理模型的最佳实践指导 —— 您需要了解的云账号管理模型

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
2月前
|
存储 Kubernetes Perl
资源配额ResourceQuota实战案例
关于Kubernetes资源配额(ResourceQuota)的实战案例分析,涵盖了资源配额的概述、工作方式、计算资源配额、存储资源配额、对象数量配额的详细介绍和案例演示。
43 2
|
3月前
|
SQL DataWorks 安全
DataWorks产品使用合集之调度资源组与集成资源内部的实例如何进行共用
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
|
3月前
|
数据采集 DataWorks 监控
DataWorks产品使用合集之公共集成资源组如何切换独享资源
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
|
5月前
|
SQL 数据采集 DataWorks
DataWorks产品使用合集之如何判断自己需要多大的独享资源组
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
22 1
|
5月前
|
存储 分布式计算 DataWorks
DataWorks产品使用合集之集成任务占用调度资源而不是集成资源组,一般是什么导致的
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
29 0
|
6月前
|
JavaScript 小程序 Java
校园闲置资源置换|基于SSM+vue的校园短期闲置资源置换平台的设计与实现(源码+数据库+文档)
校园闲置资源置换|基于SSM+vue的校园短期闲置资源置换平台的设计与实现(源码+数据库+文档)
72 0
|
6月前
|
缓存 DataWorks 安全
DataWorks产品使用合集之DataWorks公共服务资源组和独享资源组的区别如何解决
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
47 0
|
6月前
|
弹性计算 DataWorks NoSQL
DataWorks产品使用合集之dataworks的数据资源组运行时连通数据资源组如何解决
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
44 0
|
运维 数据中心
计算巢资源组功能的最佳实践
计算巢简介计算巢是阿里云开放给ISV与其客户的服务管理PaaS平台,旨在解决ISV云上交付、部署、运维问题,建立ISV与客户之间的通道。针对ISV的实际场景,计算巢提供了私有化部署、托管版部署、代运维服务三种模式。托管版和私有化部署的区别是针对于部署在ISV的账号下还是部署在用户账号下。本文主要介绍计算巢不同场景下使用资源组功能的最佳实践。功能介绍资源组能够对用户拥有的云资源从用途、权限、归属等维
计算巢资源组功能的最佳实践
|
6月前
|
Kubernetes Cloud Native 安全
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
125 0