このトピックでは、リソースディレクトリ、リソースグループ、およびタグサービスの差異と関係性について説明します。 このトピックでは、リソースグループベースの認証とタグベースの認証の違いについても説明します。
リソースディレクトリ、リソースグループ、タグサービスの差異
サービス | シナリオ | リソース分離方法 | 管理レベル | クロスアカウント機能 |
リソースディレクトリ | マルチアカウントのシナリオ。 企業が複数の Alibaba Cloud アカウントを使用してクラウドリソースを管理する際、リソースディレクトリサービスを使用して組織構造を構築できます。 さらに、この構造を使用して、アカウントとリソースを一元的かつ整理された方法で管理できます。 | リソースの分離には、アカウントを使用します。 | アカウントレベル | あるメンバーが作成したリソースグループとタグを、他のメンバーが使用することはできません。 |
リソースグループ | 単一アカウントのシナリオ。 企業が 1 つの Alibaba Cloud アカウントですべてのクラウドリソースを管理し、各支店またはプロジェクトチームが RAM ユーザーで日常業務を実行する場合、リソースグループサービスを使用してリソースを分離し、権限を管理できます。 例:
| リソースを分離する際に、RAM ID と権限ポリシーを使用します。 説明 リソースグループベースの認証とタグベースの認証の違いの詳細については、「リソースグループベースの認証とタグベースの認証の違い」をご参照ください。 | リソースレベル | ある Alibaba Cloud アカウントで作成したリソース グループは、他の Alibaba Cloud アカウントでは使用できません。 |
タグ | 単一アカウントのシナリオ。 企業が 1 つの Alibaba Cloud アカウントですべてのクラウドリソースを管理し、各支店またはプロジェクトチームが RAM ユーザーで日常業務を実行する場合、タグサービスを使用してリソースを効果的に管理できます。 例:
| リソースレベル | ある Alibaba Cloud アカウントで作成したタグは、他の Alibaba Cloud アカウントでは使用できません。 |
リソースディレクトリ、リソースグループ、およびタグサービスの関係性
リソースディレクトリ、リソースグループ、タグサービスは相互に補完するもので、同時に使用できます。 たとえば、企業は複数の支店、部門、またはプロジェクトチームで構成されています。 企業をツリーに見立てると、リソースディレクトリサービスを使用してツリーのトランクとブランチを構築できます。 リソースグループとタグサービスを使用して、ブランチのリーフをまとめて管理できます。 企業は、ビジネス要件に基づいてこれら 3 種類のサービスから 1 つ以上を選択できます。
リソースグループベースの認証とタグベースの認証の違い
リソースグループとタグを使用すると、リソースを分類し、アカウントよりもきめ細かい権限管理を実装できます。 リソースグループによる認証とタグによる認証の違いを次の表に示します。
認証方法 | シナリオ | サポートされているAlibaba Cloudサービス | 例 |
リソースグループに基づく認証 | 使用するクラウド リソースがリソースグループをサポートしている場合、リソースをリソースグループに追加し、リソース グループに対する権限を異なるアカウントに付与できます。 この方法を使用すると、ポリシーの使用方法を学ぶことなく、システム権限ポリシーを直接使用できます。 より詳細な権限管理を実施する必要がある場合は、カスタム権限ポリシーを使用できます。 | ||
タグベースの認証 | 使用するクラウドリソースがタグをサポートしている場合は、リソースにタグを追加することで、タグに対する権限を別のアカウントに付与できます。 この方法を使用する場合は、カスタム権限ポリシーのCondition要素で権限を付与するタグを指定する必要があります。 この方法は、よりきめ細かい権限管理を実装し、リソースグループベースの認証よりも柔軟です。 ただし、この方法を使用する場合、カスタム権限ポリシーに精通している必要があります。 | サポートされているサービスを取得するには、[リソース管理コンソール] にログインし、左側のナビゲーションウィンドウで [タグ]> [タグ] を選択し、[リソースタグ付け機能] タブをクリックして、[タグラムサポート] の値が [サポート] であるリソースタイプを見つけます。 |
|