功能简述

对于云资源数量和种类保有很多的用户，如果全部的云资源都由一个人或一个账号来管理，不但效率低也容易出错，更大的痛楚还有2个：

1. 父账号云资源太多，子账号进到控制台看到的资源很可能不是自己能操作的，每次都需要经过过滤才能找到属于自己的资源犹如海底捞针。
2. 假如父账号对子账号做更详细的RAM授权，比如指定子账号只有标签A的权限，也就是说子账号进到控制台默认是看不到任何资源的，必须将过滤条件指定为按标签A过滤才能看到被授权的资源。

合理的对保有云资源从用途、权限、归属等维度上进行分组是解决这个问题的正确方式。ECS控制台近期推出新的功能--全局标签，期望能让您在做云资源分组时更加快速、便捷的找到期望的云资源。

功能介绍

1. 子账号进入控制台，如果没有设置过全局标签会有提醒引导，点击设置开始设置全局标签：
2. 填写正确的全局标签后点击确定，会将全局标签的设置内容显示出来，这时所有的云资源都会按全局标签过滤后的结果返回数据：
   

经典场景

资源分组

场景概览：

账号拥有的云资源按用途分为2类，首先是用于线上生产环境的实例A、B、C、D，其次还有用于测试环境的实例X、Y。生产环境不常做变更，只在需要做正式发布时会有操作。而测试环境需要经常做环境升级甚至实例重启的操作。为了避免对线上正式环境有影响，需要将这两类实例做出区分。

解决方法：

1. 对实例A、B、C、D打上标签A（键：环境 值：线上），对实例X、Y打上标签B（键：环境 值：测试）。
2. 平时开发测试时将全局标签设置为标签B，所有的云资源都会按标签B进行过滤，比如：平时仅显示实例X、Y，任何操作都仅对测试的实例执行不会影响线上实例。当需要做线上正式发布时，修改全局标签将其设置为标签A，这时过滤出的实例就是A、B、C、D了。

权限分组

场景概览：

父账号通常要管理数量众多的云资源，都由一个账号管理不但存在单点权限的风险，效率也不高。这时企业希望对不同的部门授予不同的资源和管理权限，不同的部门在控制台和API中只能查看和管理属于自己的云资源，降低风险的同时也提升了管理效率。如：创建两个子账号，各自管理财务部和IT部的云资源。

解决方法：

如果希望子账号在控制台API只能查看和管理属于自己的云资源，需要借助RAM的授权管理：

1. 在RAM创建2个子账号，账号A：财务部，账号B：IT部。
2. 对实例X、Y打上标签A（键：部门 值：财务部），对实例A、B、C、D打上标签B（键：部门 值：IT部）。
3. 对账号A进行授权：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeTagKeys",
        "ecs:DescribeTags"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:*"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ecs:tag/部门": "财务部"
        }
      }
    },
    {
      "Action": [
        "ecs:Create*",
        "ecs:Run*",
        "ecs:Delete*",
        "ecs:Release*",
        "ecs:Allocate*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

1. 对账号B进行授权：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeTagKeys",
        "ecs:DescribeTags"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:*"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ecs:tag/部门": "IT部"
        }
      }
    },
    {
      "Action": [
        "ecs:Create*",
        "ecs:Run*",
        "ecs:Delete*",
        "ecs:Release*",
        "ecs:Allocate*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

1. 账号A登陆控制台后，如果没有设置全局标签是看不到任何云资源的，这时将全局资源设置为标签A（键：部门 值：财务部）后，所有属于财务部的云资源都显示出来并能操作了，IT部的设置同理。

使用限制和注意事项

全局标签是基于标签系统实现，在使用时有几个限制：

1. 仅支持设置一个全局标签。
2. 一个全局标签，最大支持过滤1000个云资源。建议您不要对单一标签关联过多云资源。
3. 全局标签目前仅对子账号开放。

注意事项：

1. 创建云资源时目前还没有感知全局标签，如果使用全局标签，需要您在创建云资源时手工先在标签中打上全局标签，避免新的云资源在创建后被全局标签过滤掉。

支持标签过滤的ECS云资源

1. 实例
2. 磁盘
3. 共享块存储
4. 快照
5. 镜像
6. 弹性网卡
7. 安全组
8. 密钥对

扩展阅读

关于标签的更多知识：ECS TAG功能详解