リソースディレクトリ、リソースグループ、タグの関係 - Resource Management

リソースディレクトリ、リソースグループ、タグは、それぞれ異なるリソース管理ニーズに対応します。適切な組み合わせを選択するために、それぞれのスコープ、分離レベル、認証方法を比較します。

主な違い

サービス	シナリオ	リソース分離	管理レベル	クロスアカウント
リソースディレクトリ	マルチアカウント環境に最適です。リソースディレクトリを使用して、組織階層を構築し、複数の Alibaba Cloud アカウントにまたがるアカウントとリソースを一元管理します。	アカウントレベルでリソースを分離します。	アカウントレベル	1 つのメンバー内で作成されたリソースグループとタグは、他のメンバーでは使用できません。
リソースグループ	シングルアカウント環境に最適です。 1 つの Alibaba Cloud アカウントが RAM ユーザーを使用して複数のチームまたはプロジェクトにサービスを提供する場合、リソースグループはリソース分離と権限管理のためのコンテナとして機能します。リソース権限付与コスト配分	RAM アイデンティティと許可ポリシーを使用してリソースを分離します。説明リソースグループに基づく認証とタグベースの認証の違いをご参照ください。	リソースレベル	1 つの Alibaba Cloud アカウントで作成されたリソースグループは、他のアカウントでは使用できません。
タグ	シングルアカウント環境に最適です。 1 つの Alibaba Cloud アカウントが RAM ユーザーを使用して複数のチームにサービスを提供する場合、タグは効率的なリソース管理に役立ちます。リソース識別リソース権限付与コスト配分自動化された O&M		リソースレベル	1 つの Alibaba Cloud アカウントで作成されたタグは、他のアカウントでは使用できません。

連携方法

これら 3 つのサービスは相互補完的です。企業を木に例えると、リソースディレクトリは幹と枝 (組織階層) を構築し、リソースグループとタグは葉 (個々のリソース) を整理します。ニーズに合わせて、これらを任意の方法で組み合わせることができます。

How Resource Directory, Resource Group, and tags work together

リソースグループとタグの認証の比較

リソースグループとタグは、どちらもアカウントレベルの権限よりもきめ細かなアクセス制御を提供します。

認証方法

シナリオ

サポート対象サービス

例

リソースグループ

リソースをリソースグループに追加し、そのグループに基づいて権限を付与します。使いやすさのためにシステムポリシーをサポートし、より細かい制御のためにカスタムポリシーもサポートします。

リソースグループと連携するサービス

タグ

リソースにタグを付与し、それらのタグに基づいて権限を付与します。カスタムポリシーの Condition 要素で権限付与対象のタグを指定する必要があります。より柔軟ですが、学習曲線が急です。

タグコンソールのタグ関連機能ページに移動します。リソースタイプの機能項目 タブの [タグベースの承認] 列で、サポートされています とマークされているリソースタイプを見つけます。

ECS ：タグベースの認証
- タグを使用した ECS リソースの分類と管理
- タグを使用してグループ単位で ECS インスタンスへのアクセスを許可する

ECI ：タグベースの認証
- タグを使用した RAM ユーザーの権限付与

Auto Scaling ：タグベースの認証
- タグベースの権限付与を使用したスケーリンググループの管理権限の設定
Server Migration Center (SMC) ：タグベースの認証
- タグを使用したきめ細かなアクセス制御の実装
ApsaraDB RDS ：タグベースの認証
- タグを使用してグループ単位で ApsaraDB RDS インスタンスへのアクセスを許可する