使用创建者标签对云上资源进行管理

2022-05-30 682

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 简介：如果您需要根据资源创建者来对资源进行管理、分权和分账等操作，那么创建者标签可以帮助您简单、快速地实现您的需求。

介绍

创建者标签是阿里云自动生成并绑定到对应资源的一种系统标签，用来标识资源的创建者。

创建者标签可以帮助您根据资源创建者对云上资源进行管理、分权、分账等操作。

创建者标签	格式
标签键（Key）	acs:tag:createdby
标签值（Value）	资源创建者为阿里云账号（主账号）：customer:<AccountId>，其中<AccountId>为阿里云账号ID。资源创建者为RAM用户：sub:<RamUserId>:<RamUserName>，其中<RamUserId>为RAM用户ID，<RamUserName>为RAM用户名称。资源创建者为STS账号：assumedRoleUser:<RamRoleName>:<RolePlayerId>，其中<RamRoleName>为RAM角色名称，<RolePlayerId>为角色扮演者ID。

最佳实践

限制RAM用户只能重启自己创建的ECS实例

场景：期望RAM用户只能重启自己创建的ecs实例。

首先创建一个标签授权策略，要求RAM用户zhangsan只能重启带有自己相关的创建者标签（即带有标签"acs:createdby:tag": "sub:2000000000000:zhangsan"）的ECS实例：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:RebootInstance"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/acs:createdby:tag": "sub:2000000000000:zhangsan"
        }
      }
    }
  ]
}

将这个授权策略绑定给RAM用户zhangsan后，该用户就只能重启自己创建的实例了。

如果有其他场景需求，根据需要的Action对授权策略进行调整。

使用标签策略为不同RAM用户的资源打部门标签

场景：期望不同RAM用户创建的资源，都带有自己所属部门的标签（标签键为: department）。

例如，我们有两个RAM用户：

20000000000 zhangsan DepartmentA

20000000001 lisi DepartmentB

我们可以给带有标签："acs:tag:createdby": "sub:20000000000:zhangsan" 的资源打"department":"DepartmentA" 标签，给带有标签："acs:tag:createdby": "sub:20000000001:lisi" 的资源打"department":"DepartmentB" 标签。

通过标签策略，可以实现上述的能力:

{
"tags": {
"department": {
"tag_value": {
"@@assign": [
"DepartmentA",
"DepartmentB"        ]
      },
"tag_value_correction": {
"@@assign": {
"DepartmentA": {
"value_type": "Tag",
"value_scope": {
"acs:tag:createdby": "sub:20000000000:zhangsan"            }
          },
"DepartmentB": {
"value_type": "Tag",
"value_scope": {
"acs:tag:createdby": "sub:20000000001:lisi"            }
          }
        }
      },
"tag_key": {
"@@assign": "department"      }
    }
  }
}

根据资源创建者进行分账

在账单侧可以根据创建者标签进行分账：使用创建者标签零成本分账

如何使用

开通创建者标签

登录标签控制台。
在左侧导航栏，选择标签 > 创建者标签。
单击启用创建者标签。

使用创建者标签

启用创建者标签后，新生产的资源就会自动打上创建者标签。

以ECS服务器为例，够买一台ecs服务器后，在控制台的实例列表上，就可以看到这台服务器的创建者标签。如下图所示，图中的标签即为创建者标签，代表该实例是子账号2xxxxx购买的。

VPC创建者标签：

OSS创建者标签：

创建者标签的资源视角

登录标签控制台。
在左侧导航栏，选择标签 > 标签。
单击启用创建者标签。
在系统标签页签，搜索：acs:tag:createdby
点击标签键列的 acs:tag:createdby，进入标签值页面，如下图所示

查看主账号创建的资源

资源创建者为阿里云账号（主账号）时，标签值的样式为：customer:<AccountId>，其中<AccountId>为阿里云账号ID。

点击对应标签值的查看资源即可查看主账号创建的资源。

查看RAM用户创建的资源

资源创建者为RAM用户时，标签值的样式为：sub:<RamUserId>:<RamUserName>，其中<RamUserId>为RAM用户ID，<RamUserName>为RAM用户名称。

点击对应标签值的查看资源即可查看RAM用户创建的资源。

查看STS账号创建的资源

资源创建者为STS账号时，标签值的样式为：assumedRoleUser:<RamRoleName>:<RolePlayerId>，其中<RamRoleName>为RAM角色名称，<RolePlayerId>为角色扮演者ID。

点击对应标签值的查看资源即可查看STS账号创建的资源。

支持的云服务

云服务	资源类型
云服务器ECS	instance：实例 ddh：DDH image：镜像 snapshotpolicy：快照策略
弹性公网IP	eip：弹性公网IP
负载均衡SLB	instance：实例 certificate：证书
CDN	domain：域名
云数据库PolarDB	cluster：集群
云数据库Redis	instance：实例
云数据库RDS	instance：实例
云数据库MongoDB	instance：实例
文件存储NAS	filesystem：文件系统
DDoS高防（新BGP）	instance：实例
NAT网关	natgateway：NAT网关
应用型负载均衡ALB	loadbalancer：负载均衡
弹性容器实例	containergroup：容器组
容器服务Kubernetes版	cluster：集群
函数计算	service：服务
云原生数仓AnalyticDB MySQL	cluster：集群
阿里云Elasticsearch	instance：实例
云数据库HBase	cluster：集群
VPN网关	vpngateway：VPN网关
共享带宽	commonbandwidthpackage：共享带宽
堡垒机	instance：实例
DDoS原生防护	instance：实例

最新支持列表可以去官方文档查看：支持的云服务

常见问题

开通创建者标签后，以前创建的资源会打上创建者标签吗？

不会。只有开通创建者标签后，新生产的资源才会自动打上创建者标签。

创建资源后，为什么没有立刻看到创建者标签？

创建者标签有10分钟以内的延迟，我们后续会持续优化打标签的时间。

关闭创建者标签后，已有的创建者标签会删除吗？

不会删除。

创建者标签支持的云服务不满足我们的需求怎么办？

我们在持续扩展创建者标签支持的云服务，您也可以提需求给我们，我们会尽快支持相关的云服务。