资源组是物联网平台资源的分组。通过资源分组管理,可以授予子账号查看和操作具体物联网平台资源(产品、设备和规则)的权限,从而实现子账号之间的资源隔离。

为什么使用资源组

您可以通过访问控制(RAM)授予子账号物联网平台资源的访问权限,但是RAM权限具有全局性。例如,您为某子账号授予查询产品详细信息(QueryProduct)的权限,该子账号便可查询主账号下所有产品的信息。

但是,仅使用RAM授权功能,不能限制子账号只能访问部分指定产品、设备或规则,使不同子账号的资源相互隔离。例如,子账号A只能访问产品1及其下的设备;子账号B只能访问产品2及其下的设备。为满足此类需求,物联网平台已接入资源管理平台,通过管理资源组,实现子账号用户仅能查看和操作被授权的资源。

说明 在访问控制(RAM)中为子账号授予的权限具有全局性,对资源组内的资源也生效。如果要实现子账号资源隔离,请勿直接在访问控制中进行授权,而需通过管理资源组进行授权。

物联网平台资源隔离

目前,物联网平台已实现产品、设备和规则通过资源组进行子账号资源隔离。

资源管理控制台创建资源组,然后为资源组添加被授权主体和自定义授权策略。在创建产品和规则时,可选择将当前资源划归到某个资源组。子账号用户就只能查看和操作被授权资源组内的产品、设备和规则。

具体资源隔离说明如下表。

资源类型 隔离说明
产品 产品和产品下的设备属于同一个资源组。子账号用户只能查看和操作被授权资源组内的产品。
设备 设备继承产品的资源组属性。子账号用户只能查看和操作被授权资源组内的设备。
规则 子账号用户只能查看和操作被授权资源组内的规则。

相关文档

管理资源组