本文為您介紹資源目錄、資源組與標簽之間的區別和聯系,以及資源組鑒權與標簽鑒權的區別。
三者之間的區別
云服務 | 適用場景 | 資源隔離 | 管控級別 | 跨賬號 |
資源目錄 | 多賬號場景。 如果企業使用多個阿里云賬號管理云資源,則可以使用資源目錄構建企業組織結構,對賬號和資源進行集中、有序地管理。 | 通過賬號進行資源隔離。 | 賬號級別。 | 多個成員下創建的資源組和標簽不互通,不能跨賬號使用。 |
資源組 | 單賬號場景。 如果企業使用一個阿里云賬號管理所有云資源,各個分公司或項目組使用RAM用戶進行日常操作,則可以使用資源組作為資源隔離和權限管理的容器。例如:
| 通過RAM身份和權限策略進行資源隔離。 說明 資源組授權與標簽授權的區別,請參見資源組鑒權與標簽鑒權的區別。 | 資源級別。 | 不同阿里云賬號下創建的資源組不互通,不能跨賬號使用。 |
標簽 | 單賬號場景。 如果企業使用一個阿里云賬號管理所有云資源,各個分公司或項目組使用RAM用戶進行日常操作,則可以使用標簽高效管理資源。例如:
| 資源級別。 | 不同阿里云賬號下創建的標簽不互通,不能跨賬號使用。 |
三者之間的聯系
三者之間是相輔相成、能力互通、有機結合的關系。例如:集團企業一般都是由多個分公司、部門或產品項目組等組成。如果將企業比作一棵樹,資源目錄可以用來構建樹的主干和分支,資源組和標簽可以對分支上樹葉進行歸納和管理。請根據企業的實際情況選擇資源目錄、資源組或標簽三個云服務中的一個或多個組合。
資源組鑒權與標簽鑒權的區別
資源組和標簽都可以將資源進行分類,在資源分類的基礎上實現比賬號更細粒度的權限控制。主要區別如下:
鑒權方式 | 適用場景 | 支持的云服務 | 授權示例 |
資源組 | 對于支持資源組的云資源,您可以將其加入資源組,然后針對資源組授權。該方式可以直接使用系統策略,操作便捷,學習成本低。對于更加精細的授權,您也可以使用自定義策略。 | ||
標簽 | 對于支持標簽的云資源,您可以為其綁定標簽,然后針對標簽授權。該方式只能在自定義策略中通過條件(Condition)指定授權的標簽,使用靈活,授權粒度細,但您需要掌握自定義策略的用法,具有一定的使用門檻。 | 訪問標簽控制臺,在資源類型能力項頁簽下的資源類型鑒權列,顯示支持的資源類型。 |
|