全部產品
Search

搜尋本產品

    Container Registry:使用資源群組進行精細化資源控制-最新

    文件中心

    Container Registry:使用資源群組進行精細化資源控制-最新

    更新時間:Apr 23, 2026

    當您使用資源群組對資源進行分組管理時,可以結合存取控制(RAM),在單個阿里雲帳號內實現資源的隔離和精微調權限管理。本文總結了Container Registry對資源群組的支援情況,以及資源群組層級的授權操作步驟。

    說明

    資源群組授權的工作原理

    您可以使用資源群組(Resource Group)對阿里雲帳號內的資源進行分組管理。例如,為不同的專案建立對應的資源群組,並將資源轉移到對應的組中,以便集中管理各專案的資源。更多資訊,請參見什麼是資源群組

    在完成資源分組後,您可以為不同的RAM授權主體(RAM使用者、RAM使用者組或RAM角色)授予指定資源群組範圍的許可權,從而限定這個授權主體只能管理該資源群組內的資源。更多資訊,請參見資源分組和授權

    這種授權方式的優點有:

    • 許可權精細化:確保每個身份能獲得最準確的資源存取權限,避免帳號下的多重專案的資源混合管理。

    • 良好的擴充性:後續新增資源時,只需將其加入該資源群組,RAM身份便會自動獲得新資源的相應許可權,無需再次授權。

    為RAM使用者授予資源群組層級的許可權

    下面以RAM使用者為例,介紹授予指定資源群組內Container Registry資源許可權的操作步驟。

    1. 前置步驟

    1. 建立待使用的RAM使用者,可參考:建立RAM使用者

    2. 建立資源群組並將已有資源劃分到目標資源群組,可參考:建立資源群組資源自動轉組資源手動轉組

    2. 進行資源群組層級授權

    您可以通過以下任一方式進行資源群組層級授權。

    方式一:在資源管理主控台中授權

    通過資源群組的許可權管理功能為指定 RAM 使用者授權。詳情操作可參見為RAM身份授予資源群組範圍的許可權

    • 登入資源群組控制台

    • 在資源群組頁面,單擊目標資源群組操作列的許可權管理

    • 許可權管理頁簽,單擊新增授權

    • 新增授權面板,設定授權主體和權限原則。

      • 授權主體:選擇已有RAM使用者。

      • 權限原則:選擇系統策略或已建立的自訂策略,參考建立自訂權限原則

    • 單擊確認新增授權

    方式二:在 RAM 控制台中授權

    通過RAM控制台為指定 RAM 使用者進行資源群組層級授權。詳細操作可參見為RAM使用者授權

    • 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    • 在左側導覽列,選擇身份管理 > 使用者使用者頁面,單擊目標RAM使用者操作列的添加許可權

    • 新增授權面板,為RAM使用者添加許可權。

      • 資源範圍:選擇資源群組層級

      • 授權主體:選擇已有 RAM 使用者或前面步驟建立的 RAM 使用者。

      • 權限原則:選擇系統策略或已建立的自訂策略,參考建立自訂權限原則

    • 單擊確認新增授權

    支援資源群組的資源類型

    Container Registry支援資源群組的資源類型如下表所示:

    雲端服務

    雲端服務代碼

    資源類型

    Container Registry

    cr

    chartnamespace : Chart命名空間

    Container Registry

    cr

    chartrepository : Chart倉庫

    Container Registry

    cr

    instance : 執行個體

    Container Registry

    cr

    namespace : 鏡像命名空間

    Container Registry

    cr

    repository : 鏡像倉庫
    說明

    對於暫不支援資源群組的資源類型,如有需要,您可以在資源群組控制台提交反饋。

    image

    不支援資源群組層級授權的操作

    Container Registry中不支援資源群組層級授權的操作(Action)如下:

    操作(Action)

    操作描述

    cr:CancelArtifactDeleteTagTask

    -

    cr:CancelArtifactSubscriptionTask

    -

    cr:CancelDiagnosisTask

    -

    cr:CancelRepoSyncTask

    -

    cr:CreateArtifactBuildDiagnosisTask

    -

    cr:CreateArtifactBuildPhaseStatusTask

    -

    cr:CreateCloudProductAuth

    -

    cr:CreateClusterImageAnalysisTask

    -

    cr:CreateDiagnosisTask

    -

    cr:CreateImageWorkloadAnalysisTask

    -

    cr:CreateInstanceFlowControlRule

    -

    cr:CreateMetadataNamespace

    -

    cr:CreateMetadataNote

    -

    cr:CreateMetadataOccurrence

    -

    cr:CreateOrder

    -

    cr:CreateStorageDomainRoutingRule

    -

    cr:CreateUserInfo

    -

    cr:DeleteCloudProductAuth

    -

    cr:DeleteExemptVul

    -

    cr:DeleteInstance

    -

    cr:DeleteInstanceFlowControlRule

    -

    cr:DeleteInstanceMigrateRule

    -

    cr:DeleteStorageDomainRoutingRule

    -

    cr:DeleteSyncCustomLink

    -

    cr:DisableInstanceHideAuthDomain

    -

    cr:EnableInstanceHideAuthDomain

    -

    cr:GetAccessVpcLink

    -

    cr:GetClusterImageAnalysisTask

    -

    cr:GetDiagnosisTask

    -

    cr:GetImageWorkloadAnalysisTask

    -

    cr:GetInstanceFlowControlRule

    -

    cr:GetInstanceHideAuthDomainStatus

    -

    cr:GetInstanceMigrateRule

    -

    cr:GetInstanceUser

    -

    cr:GetMetadataNamespace

    -

    cr:GetMetadataNote

    -

    cr:GetMetadataOccurrence

    -

    cr:GetRepositoryTag

    -

    cr:GetResourceQuota

    -

    cr:GetScanRule

    -

    cr:GetServiceAuthorization

    -

    cr:GetSignatureRule

    -

    cr:GetStorageDomainRoutingRule

    -

    cr:GetSyncCustomLink

    -

    cr:GetUserInfo

    -

    cr:GetWebHook

    -

    cr:ListArtifactBuildDiagnosisResult

    -

    cr:ListArtifactBuildPhaseStatus

    -

    cr:ListArtifactBuildRule

    -

    cr:ListArtifactComponents

    -

    cr:ListArtifacts

    -

    cr:ListChartNamespace

    -

    cr:ListChartRepository

    -

    cr:ListCloudProductAuth

    -

    cr:ListDiagnosisTask

    -

    cr:ListInstanceFlowControlRule

    -

    cr:ListInstanceUser

    -

    cr:ListMetadataNotes

    -

    cr:ListMetadataOccurrences

    -

    cr:ListUserBucket

    -

    cr:ListUserVpc

    -

    cr:RevokeInstanceUserLoginPassword

    -

    cr:StopChainInstance

    -

    cr:UpdateArtifactBuildRule

    -

    cr:UpdateExemptVul

    -

    cr:UpdateMetadataOccurrence

    -

    cr:UpdateStorageDomainRoutingRule

    -

    cr:UpdateSyncCustomLink

    -

    cr:UpdateSyncRule

    -

    cr:UpdateUserInfo

    -

    對於不支援資源群組授權的操作,授權時資源範圍選取資源群組層級將無效。如果仍需要RAM使用者有上述操作許可權,您需要建立自訂權限原則,授權時資源範圍選取帳號層級

    image.png以下是兩個自訂權限原則樣本,您可以根據實際需要調整策略內容。

    • 允許不支援資源群組層級授權的全部唯讀操作:Action中列舉不支援資源群組層級授權的所有隻讀操作。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:GetDiagnosisTask",
        "cr:GetImageWorkloadAnalysisTask",
        "cr:GetInstanceFlowControlRule",
        "cr:GetInstanceHideAuthDomainStatus",
        "cr:GetInstanceMigrateRule",
        "cr:GetInstanceUser",
        "cr:GetMetadataNamespace",
        "cr:GetMetadataNote",
        "cr:GetMetadataOccurrence",
        "cr:GetRepositoryTag",
        "cr:GetResourceQuota",
        "cr:GetScanRule",
        "cr:GetServiceAuthorization",
        "cr:GetSignatureRule",
        "cr:GetStorageDomainRoutingRule",
        "cr:GetSyncCustomLink",
        "cr:GetWebHook",
        "cr:ListArtifactBuildDiagnosisResult",
        "cr:ListArtifactBuildPhaseStatus",
        "cr:ListArtifactBuildRule",
        "cr:ListArtifactComponents",
        "cr:ListArtifacts",
        "cr:ListCloudProductAuth",
        "cr:ListDiagnosisTask",
        "cr:ListInstanceFlowControlRule",
        "cr:ListInstanceUser",
        "cr:ListMetadataNotes",
        "cr:ListMetadataOccurrences",
        "cr:ListUserBucket",
        "cr:ListUserVpc"
      ],
      "Resource": "*"
    }
  ]
}

    • 允許不支援資源群組層級授權的全部操作:Action中列舉不支援資源群組層級授權的全部操作。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:CancelArtifactDeleteTagTask",
        "cr:CancelArtifactSubscriptionTask",
        "cr:CancelDiagnosisTask",
        "cr:CancelRepoSyncTask",
        "cr:CreateArtifactBuildDiagnosisTask",
        "cr:CreateArtifactBuildPhaseStatusTask",
        "cr:CreateCloudProductAuth",
        "cr:CreateClusterImageAnalysisTask",
        "cr:CreateDiagnosisTask",
        "cr:CreateImageWorkloadAnalysisTask",
        "cr:CreateInstanceFlowControlRule",
        "cr:CreateMetadataNamespace",
        "cr:CreateMetadataNote",
        "cr:CreateMetadataOccurrence",
        "cr:CreateOrder",
        "cr:CreateStorageDomainRoutingRule",
        "cr:CreateUserInfo",
        "cr:DeleteCloudProductAuth",
        "cr:DeleteExemptVul",
        "cr:DeleteInstance",
        "cr:DeleteInstanceFlowControlRule",
        "cr:DeleteInstanceMigrateRule",
        "cr:DeleteStorageDomainRoutingRule",
        "cr:DeleteSyncCustomLink",
        "cr:DisableInstanceHideAuthDomain",
        "cr:EnableInstanceHideAuthDomain",
        "cr:GetAccessVpcLink",
        "cr:GetClusterImageAnalysisTask",
        "cr:GetDiagnosisTask",
        "cr:GetImageWorkloadAnalysisTask",
        "cr:GetInstanceFlowControlRule",
        "cr:GetInstanceHideAuthDomainStatus",
        "cr:GetInstanceMigrateRule",
        "cr:GetInstanceUser",
        "cr:GetMetadataNamespace",
        "cr:GetMetadataNote",
        "cr:GetMetadataOccurrence",
        "cr:GetRepositoryTag",
        "cr:GetResourceQuota",
        "cr:GetScanRule",
        "cr:GetServiceAuthorization",
        "cr:GetSignatureRule",
        "cr:GetStorageDomainRoutingRule",
        "cr:GetSyncCustomLink",
        "cr:GetUserInfo",
        "cr:GetWebHook",
        "cr:ListArtifactBuildDiagnosisResult",
        "cr:ListArtifactBuildPhaseStatus",
        "cr:ListArtifactBuildRule",
        "cr:ListArtifactComponents",
        "cr:ListArtifacts",
        "cr:ListChartNamespace",
        "cr:ListChartRepository",
        "cr:ListCloudProductAuth",
        "cr:ListDiagnosisTask",
        "cr:ListInstanceFlowControlRule",
        "cr:ListInstanceUser",
        "cr:ListMetadataNotes",
        "cr:ListMetadataOccurrences",
        "cr:ListUserBucket",
        "cr:ListUserVpc",
        "cr:RevokeInstanceUserLoginPassword",
        "cr:StopChainInstance",
        "cr:UpdateArtifactBuildRule",
        "cr:UpdateExemptVul",
        "cr:UpdateMetadataOccurrence",
        "cr:UpdateStorageDomainRoutingRule",
        "cr:UpdateSyncCustomLink",
        "cr:UpdateSyncRule",
        "cr:UpdateUserInfo"
      ],
      "Resource": "*"
    }
  ]
}
    重要

    獲得帳號層級許可權的RAM使用者或RAM角色,能夠操作整個帳號範圍內的相關資源。請務必確認所授與權限是否符合預期,遵從最小授權原則謹慎分配許可權。

    常見問題

    如何查看當前資源屬於哪個資源群組?

    • 方式一:單擊資源名稱,進入資源的詳情頁面,即可查看到當前資源的資源群組。

    • 方式二:登入資源管理主控台,單擊資源中心 > 資源搜尋,在左側選擇目標資源所屬帳號(預設為當前帳號),通過篩選條件定位目標資源,即可查看其所屬資源群組。

    如何查看當前產品在某個資源群組下的所有資源?

    • 方式一:登入資源管理主控台,單擊資源中心 > 資源搜尋,然後在左側的資源所屬帳號(預設為當前帳號)下選擇單擊目標資源群組名稱,最後在右側的選擇資源類型中選擇當前產品,即可查看當前產品在某個資源群組下的所有資源。

    • 方式二:登入資源管理主控台,單擊資源群組 > 資源群組,然後找到目標資源群組,單擊其所在行的操作列下的資源管理,最後在資源管理頁面上方的產品下拉框中選擇當前產品,即可查看當前產品在某個資源群組下的所有資源。

    如何批量修改多個資源的資源群組?

    登入資源管理主控台,單擊資源群組 > 資源群組,在目標資源群組所在行的操作列下,單擊資源管理以進入資源管理頁面。通過篩選條件定位多個目標資源,批量勾選第一列的複選框後單擊下方轉移資源群組,並按頁面提示完成資源群組修改。