本文為您介紹資來源目錄、資源群組與標籤之間的區別和聯絡,以及資源群組鑒權與標籤鑒權的區別。
三者之間的區別
雲端服務 | 適用情境 | 資源隔離 | 管控層級 | 跨帳號 |
資來源目錄 | 多帳號情境。 如果企業使用多個阿里雲帳號管理雲資源,則可以使用資來源目錄構建企業組織圖,對帳號和資源進行集中、有序地管理。 | 通過帳號進行資源隔離。 | 帳號層級。 | 多個成員下建立的資源群組和標籤不互連,不能跨帳號使用。 |
資源群組 | 單帳號情境。 如果企業使用一個阿里雲帳號管理所有雲資源,各個分公司或專案組使用RAM使用者進行日常操作,則可以使用資源群組作為資源隔離和許可權管理的容器。例如:
| 通過RAM身份和權限原則進行資源隔離。 說明 資源群組授權與標籤授權的區別,請參見資源群組鑒權與標籤鑒權的區別。 | 資源層級。 | 不同阿里雲帳號下建立的資源群組不互連,不能跨帳號使用。 |
標籤 | 單帳號情境。 如果企業使用一個阿里雲帳號管理所有雲資源,各個分公司或專案組使用RAM使用者進行日常操作,則可以使用標籤高效管理資源。例如:
| 資源層級。 | 不同阿里雲帳號下建立的標籤不互連,不能跨帳號使用。 |
三者之間的聯絡
三者之間是相輔相成、能力互連、有機結合的關係。例如:集團企業一般都是由多個分公司、部門或產品專案組等組成。如果將企業比作一棵樹,資來源目錄可以用來構建樹的主乾和分支,資源群組和標籤可以對分支上樹葉進行歸納和管理。請根據企業的實際情況選擇資來源目錄、資源群組或標籤三個雲端服務中的一個或多個組合。
資源群組鑒權與標籤鑒權的區別
資源群組和標籤都可以將資源進行分類,在資源分類的基礎上實現比帳號更細粒度的許可權控制。主要區別如下:
鑒權方式 | 適用情境 | 支援的雲端服務 | 授權樣本 |
資源群組 | 對於支援資源群組的雲資源,您可以將其加入資源群組,然後針對資源群組授權。該方式可以直接使用系統策略,操作便捷,學習成本低。對於更加精細的授權,您也可以使用自訂策略。 | ||
標籤 | 對於支援標籤的雲資源,您可以為其綁定標籤,然後針對標籤授權。該方式只能在自訂策略中通過條件(Condition)指定授權的標籤,使用靈活,授權粒度細,但您需要掌握自訂策略的用法,具有一定的使用門檻。 | 訪問標籤控制台,在資源類型能力項頁簽下的資源類型鑒權列,顯示支援的資源類型。 |
|