サービスプロバイダーとして、リソースグループを使用して、使用状況、権限、所有権などのディメンションからクラウドリソースをグループ化できます。 これにより、複数の顧客とプロジェクトのリソースを階層的に管理し、Alibaba Cloudアカウントに基づくものよりもきめ細かい承認を実装できます。 複数のCompute Nestサービスがある場合は、ビジネス要件に基づいてサービスを異なるリソースグループに追加し、グループごとにサービスと権限を管理できます。
背景情報
リソースグループには次の制限があります。
リソースグループに追加できるのは、サービスとサービスインスタンスのみです。
アカウント間のリソースグループ間でリソースを転送することはできません。
各リソースは、1つのリソースグループにのみ追加できます。
リソースグループには、グローバル権限が付与されているRAM (Resource Access Management) ユーザーがアクセスできます。 RAMユーザーがAlibaba Cloudアカウント内のすべてのAlibaba Cloudリソースを管理する権限が付与されている場合、RAMユーザーはAlibaba Cloudアカウント内のすべてのリソースグループにアクセスできます。
手順
この例では、サービスAとサービスBの2つのサービスがあり、顧客Aを指定してサービスAを管理し、顧客Bを指定してサービスBを管理します。この場合、Compute Nestのリソースグループを使用してアクセス許可を管理し、顧客AはサービスAにのみアクセスでき、顧客BはサービスBにのみアクセスできるようにします。
Resource Managementコンソールで、resource Group AとResource Group Bという名前の2つのリソースグループを作成します。詳細については、「リソースグループの作成」をご参照ください。
リソースグループAに対する権限を顧客Aに付与し、リソースグループBに対する権限を顧客Bに付与します。AliyunComputeNestSupplierFullAccessポリシーを顧客Aおよび顧客BのRAMユーザーにアタッチする必要があります。他の権限が必要な場合は、ビジネス要件に基づいて顧客Aおよび顧客Bに権限を付与できます。 詳細については、「RAM権限の追加」をご参照ください。
サービスAとサービスBを作成します。サービスAのリソースグループをリソースグループAに設定し、サービスBのリソースグループをリソースグループBに設定します。
サービスが作成されると、Customer AとCustomer BはCompute Nestコンソールにログインし、[マイサービス] ページの左上隅にある [すべてのリソース] ドロップダウンリストですべてのリソースグループを表示できます。
顧客にリソースグループに対する権限が付与されている場合にのみ、リソースグループ内のリソースが表示されます。 たとえば、顧客AはリソースグループAに対する権限のみを持っています。この場合、顧客Aは [すべてのリソース] ドロップダウンリストからリソースグループAを選択し、サービスAを表示できます。
サービスにリソースグループが指定されていない場合、サービスはデフォルトのリソースグループに追加されます。 リソースグループ間でリソースを転送して、リソースの所有権を変更できます。 詳細については、「リソースグループ間のリソース転送」をご参照ください。