Jika Anda memiliki beberapa sumber daya di Alibaba Cloud dan ingin memberikan izin kepada pengguna untuk melihat dan mengelola sumber daya tertentu, Anda dapat membuat grup sumber daya dan mengelompokkan sumber daya ke dalam grup tersebut. Selanjutnya, Anda dapat membuat pengguna Resource Access Management (RAM) di RAM dan memberikan izin kepada pengguna RAM tersebut pada grup sumber daya yang berbeda.
Informasi latar belakang
Sebuah perusahaan game sedang mengembangkan tiga proyek game. Setiap proyek memerlukan berbagai sumber daya cloud.
Perusahaan tersebut memiliki persyaratan berikut:
Pengelolaan proyek independen: Manajer proyek dapat mengelola anggota proyek mereka sendiri dan izin yang diperlukan oleh anggota proyek untuk mengakses sumber daya cloud.
Tagihan terpisah: Departemen keuangan perusahaan memerlukan setiap proyek untuk menerima tagihan terpisah.
Perusahaan tersebut memiliki solusi opsional berikut:
Solusi multi-akun
Solusi ini mendukung pengelolaan proyek independen. Perusahaan membuat tiga akun Alibaba Cloud (satu akun untuk setiap proyek) dan menetapkan satu manajer proyek untuk setiap akun. Kemudian, manajer proyek dapat mengelola anggota proyek mereka sendiri dan izin akses setiap anggota.
Solusi ini mendukung tagihan terpisah. Secara default, setiap akun Alibaba Cloud menerima tagihan terpisah. Perusahaan dapat menggunakan fitur penagihan konsolidasi yang disediakan oleh Alibaba Cloud untuk mengkonsolidasikan tagihan dan faktur dari beberapa akun Alibaba Cloud.
Solusi akun tunggal dengan sumber daya bertanda
Solusi ini tidak mendukung pengelolaan proyek independen. Perusahaan dapat menandai sumber daya cloud-nya berdasarkan kelompok, tetapi manajer proyek tidak dapat mengelola anggota mereka sendiri dan izin akses setiap anggota.
Solusi ini mendukung tagihan terpisah. Perusahaan dapat menandai sumber daya cloud-nya berdasarkan proyek. Kemudian, setiap proyek dapat menerima tagihan terpisah.
Solusi berbasis grup sumber daya akun tunggal
Solusi ini mendukung pengelolaan proyek independen. Setiap grup sumber daya memiliki administrator. Administrator dapat mengelola anggota grup mereka sendiri dan izin akses setiap anggota.
Solusi ini mendukung tagihan terpisah. Alibaba Cloud menyediakan fitur penagihan konsolidasi yang memungkinkan grup sumber daya menerima tagihan terpisah.
Solusi multi-akun cocok untuk skenario di mana proyek yang berbeda sepenuhnya terisolasi dan dikelola oleh anggota proyek. Tim pusat dapat mengelola beberapa akun secara terpusat untuk memastikan konsistensi dan pelaksanaan standar. Solusi berbasis grup sumber daya akun tunggal cocok untuk skenario di mana tim pusat bertanggung jawab atas operasi TI dan O&M seluruh perusahaan, dan tim proyek yang berbeda mengelola sumber daya di grup sumber daya terkait. Perusahaan game tersebut memutuskan untuk mengadopsi solusi berbasis grup sumber daya akun tunggal. Topik ini menjelaskan cara mengimplementasikan solusi berbasis grup sumber daya akun tunggal.
Solusi
Grup sumber daya adalah mekanisme di mana sumber daya dikelola berdasarkan kelompok dalam akun Alibaba Cloud. Solusi berbasis grup sumber daya akun tunggal memungkinkan perusahaan untuk membuat tiga grup sumber daya dan tiga pengguna RAM yang sesuai dengan tiga proyek game hanya dengan menggunakan satu akun Alibaba Cloud. Tiga pengguna RAM tersebut dialokasikan kepada tiga administrator dari tiga proyek game. Untuk informasi lebih lanjut, lihat Ikhtisar Grup Sumber Daya.
Otorisasi grup sumber daya hanya berlaku untuk layanan cloud dan sumber daya yang mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya.
Prosedur
Operasi berikut dilakukan oleh administrator akun.
Buat pengguna RAM di Konsol RAM.
Dalam contoh ini, buat tiga pengguna RAM berikut. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Pengguna RAM
Alice: administrator Proyek Game 1.Pengguna RAM
Bob: administrator Proyek Game 2.Pengguna RAM
Charlie: administrator Proyek Game 3.
Buat grup sumber daya di Konsol Manajemen Sumber Daya.
Dalam contoh ini, buat tiga grup sumber daya berikut. Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.
Grup sumber daya
Game1: mengelola sumber daya untuk Proyek Game 1.Grup sumber daya
Game2: mengelola sumber daya untuk Proyek Game 2.Grup sumber daya
Game3: mengelola sumber daya untuk Proyek Game 3.
Klasifikasikan sumber daya ke dalam grup sumber daya.
Sumber daya baru dibeli atau dibuat: Saat Anda membeli atau membuat sumber daya, pilih grup sumber daya. Untuk informasi lebih lanjut, lihat Beli Sumber Daya untuk Grup Sumber Daya.
Sumber daya yang ada: Pindahkan sumber daya ke grup sumber daya yang diperlukan. Untuk informasi lebih lanjut, lihat Pindahkan Sumber Daya Antar Grup Sumber Daya.
Berikan izin pada grup sumber daya yang diperlukan kepada pengguna RAM.
Dalam contoh ini, perusahaan ingin menetapkan tiga pengguna RAM sebagai administrator grup sumber daya. Anda harus melampirkan kebijakan
AdministratorAccessuntuk memberikan pengguna RAM izin penuh untuk mengelola grup sumber daya yang diperlukan. Sebagai contoh, Anda dapat melampirkan kebijakanAdministratorAccesskepada pengguna RAMAliceuntuk memberikan izin pada grup sumber dayaGame1.Dalam lingkungan bisnis nyata, kami merekomendasikan agar Anda hanya memberikan izin yang diperlukan kepada pengguna RAM berdasarkan prinsip hak istimewa minimal. Ini membantu mencegah risiko keamanan yang disebabkan oleh izin pengguna yang berlebihan.
Anda dapat memberikan izin kepada pengguna RAM dengan salah satu metode berikut:
Berikan izin kepada pengguna RAM di Konsol Manajemen Sumber Daya. Untuk informasi lebih lanjut, lihat Tambah Otorisasi RAM.
Berikan izin kepada pengguna RAM di Konsol RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
PentingAnda harus menyetel parameter Authorized Scope ke Specific Resource Group.
Hasil
Dalam contoh ini, Alice, Bob, dan Charlie adalah administrator grup sumber daya Game1, Game2, dan Game3. Administrator memiliki izin berikut:
Di konsol layanan cloud terkait, administrator dapat melihat, mengelola, dan membuat sumber daya di grup sumber daya terkait.
PentingAdministrator dapat melihat sumber daya di grup sumber daya hanya setelah administrator memilih grup sumber daya terkait.
Di Konsol Manajemen Sumber Daya, administrator dapat mengelola pengguna RAM, grup pengguna RAM, dan peran RAM yang memiliki izin pada grup sumber daya terkait.
Referensi
Untuk mengizinkan pengguna RAM melihat dan mengelola hanya Instance ECS tempat pengguna RAM memiliki izin, lihat Gunakan Grup Sumber Daya untuk Memberikan Izin kepada Pengguna RAM untuk Mengelola Instance ECS Tertentu.