您可以通过设置全局标签快速地为子账号筛选出符合要求的已授权云资源。

背景信息

全局标签的使用限制如下:
  • 全局标签目前仅适用于子账号。
  • 每个子账号仅支持设置一个全局标签。
  • 每个全局标签,最多可过滤1000个云资源。

您可以使用全局标签过滤以下ECS云资源:实例、镜像、快照、云盘、弹性网卡、共享块存储、安全组和密钥对。

应用场景一:资源分组

您账号中同时包含用于线上环境和测试环境的实例,由于线上生产环境不常做变更,而测试环境经常需要升级甚至重启实例。为了避免误操作线上生产环境的实例,您可以通过设置全局标签只过滤出用于测试环境的实例。
  • 用于线上生产环境的实例Online1、Online2、Online3、Online4
  • 用于测试环境的实例TestInstance1、TestInstance2
  1. 使用主账号创建RAM用户。具体操作,请参见创建RAM用户
  2. 通过RAM授权或资源组授权的方式为子账号添加权限并进行相应的准备工作。
    • 方式一:RAM授权
      1. 登录RAM控制台,为已创建的RAM用户配置权限。具体操作,请参见配置权限。本示例中我们为RAM用户授予AliyunECSFullAccess权限。
      2. 使用已授权的RAM用户登录ECS控制台
      3. 分别创建名称为Online1、Online2、Online3、Online4的实例。注意创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤请参见创建实例
      4. 分别创建名称为TestInstance1和TestInstance2的实例,在创建实例时在分组设置页面将每个实例的标签设置为环境: 测试。具体步骤请参见创建实例
    • 方式二:资源组授权
      1. 使用主账号登录ECS控制台
      2. 分别创建名称为Online1、Online2、Online3、Online4的实例。注意在创建实例时,在分组设置页面将每个实例的标签设置为环境:线上。具体步骤请参见创建实例
      3. 分别创建名称为TestInstance1和TestInstance2的实例,在创建实例时在分组设置页面将每个实例的标签设置为环境: 测试。具体步骤请参见创建实例
      4. 新建资源组:测试组线上组。具体操作 ,请参见新建资源组
      5. 将实例Online1、Online2、Online3、Online4添加到线上组中。将实例TestInstance1、TestInstance2添加到测试组中。具体操作请参见单账号内部的资源跨组转移
      6. 在资源组中为已创建的RAM用户授权。在资源组测试组线上组中添加该RAM用户。具体请参见在资源组中添加用户
  3. 使用子账号登录ECS控制台
  4. 在全局标签的设置引导栏中,单击设置,如下图所示。


  5. 文本框中填写环境,在文本框中填写测试,单击确定


    当全局标签设置为环境:测试时, 用于测试环境的实例TestInstance1TestInstance2都出现在实例列表中,而用于线上生产环境的实例则不会在该列表中显示出来。

应用场景二:权限分组

在企业管理中,您可能希望不同的部门只能管理其职能范围内的云资源。通过为各部门授予相应的管理权限,可以降低风险,同时提升管理效率。下面以财务部和IT部为例,为您介绍全局标签在权限分组中的应用方法。

  1. 使用主账号为财务部和IT部创建实例。
    1. 使用主账号登录ECS控制台
    2. 分别创建实例Finance1和Finance2。
      注意在创建实例时,在分组设置页面将标签设置为部门:财务部。具体步骤请参见创建实例
    3. 分别创建实例IT1和IT2。
      注意在创建实例时,在分组设置页面将标签设置为部门:IT部 。具体步骤请参见创建实例
  2. 使用主账号为财务部和IT部创建账号并授权。
    1. 使用主账号登录RAM控制台
    2. 使用主账号登录RAM控制台
    3. 创建RAM用户,账号A为财务部,账号B为IT部。具体步骤请参见创建RAM用户
    4. 使用以下授权策略为财务部账号A进行RAM授权。具体步骤请参见RAM 授权
      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "财务部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
    5. 使用以下授权策略为IT部账号B授权。
      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "ecs:DescribeTagKeys",
              "ecs:DescribeTags"
            ],
            "Resource": "*",
            "Effect": "Allow"
          },
          {
            "Action": [
              "ecs:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ecs:tag/部门": "IT部"
              }
            }
          },
          {
            "Action": [
              "ecs:Create*",
              "ecs:Run*",
              "ecs:Delete*",
              "ecs:Release*",
              "ecs:Allocate*"
            ],
            "Resource": "*",
            "Effect": "Deny"
          }
        ]
      }
  3. 使用IT部账号B登录ECS控制台
  4. 在全局标签的设置引导栏中,单击设置,如下图所示。


  5. 文本框中填写部门,在文本框中填写IT部,单击确定


    授权给IT部的实例IT1IT2都会出现在账号B的实例列表中,如下图所示。