当账号里有 100 个镜像, 多个不同业务的安全组, 不同网段的 VSwitch 时, 资源怎么高效管理是一个困扰账号 owner 的问题. 为此, 阿里云也推出了多种提速资源管理的工具, 例如标签和资源组.
资源组是一种偏向解决方案的分组策略, 有专门的控制台进行集合的资源操作(企业控制台). 在企业控制台可以对资源进行资源组间的转换, 本文介绍的更偏向控制台操作(非 OpenAPI 操作), 因此授权操作会直接在企业控制台进行.
资源组的授权和使用是两个过程(如上图), 一个是给子账号授权某个资源组的权限, 一个是将资源分配到各个资源组中.
资源组授权子账号
在企业控制台的 "资源管理 - 选择资源组 - 成员" 里面, 可以管理授权本资源组的子账号. 授权完成后, 该子账号就有了对应资源组内资源操作权限.
该权限对应的可执行操作是: 启停或操作带有此标签的资源, 删除带此标签的资源, 创建或创建中使用带有此标签的资源.
资源组分配资源
成员分组完成后, 就需要为分组的成员授权管理的资源了, 资源分配完成, 子用户才真正有操作对应资源的权限. 授权资源的操作只需要关心资源组和资源的关系, 在上面界面的 "资源" 页面, 就可以为本资源组转入转出资源. 这样操作之后, 授权的子账号就有了被转入的资源操作权限, 资源也被标记为从属于此资源组.
完成成员和资源的资源组分配之后, 接下来就是对云产品的操作, 在 ECS 控制台可以通过设置最上面的资源组下拉框来选择当前的 "工作资源组环境", 过滤出来的资源, 都是从属于选择的资源组的.
在控制台的所有操作都是都是针对特定接口的操作, 例如实例的启停, 查询等, 没有涉及新资源的生产, 因此接下来介绍重点, 实例购买页面支持基于资源组的资源分组.
创建资源时资源组的过滤
在购买页面 ( https://ecs-buy.aliyun.com/wizard/#/postpay/cn-hangzhou ) 顶端也有相同的资源组下拉菜单, 这里选择之后的含义也是相同的, 下面页面上能选择到的依赖资源 (安全组, 镜像等) 也都是属于这个资源组的. 对于子账号, 可以通过这个选项选择自己有权限的资源组, 下面选择的依赖资源如 VSwitch 等如果有权限也会有可选项.
在购买页面使用了资源组过滤之后, 其创建出来的新实例并不一定必须归属于顶端所选择的资源组, 在 "分组设置" 中, 可以选择任意的一个资源组(但是首先要确定有另一个资源组的使用权限), 但是我们建议 "分组设置" 中的资源组使用默认 - 即与顶部一致, 创建出的实例也属于这个资源组, 这样资源归属和分组强一致.
通过这种资源组的隔离方式, 子账号在选择了资源组之后, 可以顺畅操作关于授权资源组的所有资源, 操作覆盖资源的所有生命周期, 包括创建, 查询, 操作, 释放, 形成整体分组授权的闭环.
来源: https://yq.aliyun.com/articles/701494