背景
许多企业客户在资源规划时,需要通过分层管理来提升资源管理效率,并细化控制员工权限,按照资源归属分摊资源成本。针对这些场景,我们推荐您通过规划标签体系,建立层级标签,确保资源能够正确的关联标签;通过为员工授予标签访问权限,员工仅能访问特定标签下的资源,同时可以根据标签拆分资源账单。
整体方案
1. 按照资源归属规划标签:对资源有层级管理需求的客户可以按照组织关系层级进行标签规划,分层管理云上资源,例如:按照公司主体、部门、具体业务设置标签键,主体名称、部门名称、业务名称作为标签值,主体、部门、业务为一组标签。
2. 通过标签灵活管理资源权限:资源通过标签分组管理后,可以基于标签创建权限策略,为 CAM 子用户或角色授权,控制资源管理权限,提高资源权限管理效率,授权后 CAM 子用户或角色,将拥有关联该标签的资源的管理权限。使用层级标签,可以按照不同管理职责,为员工授予相应管理层级的标签,简化授权逻辑。
3. 设置分账标签,细分资源账单:设置分账标签后,云上账单会记录消耗资源所属的标签,帮助客户按照标签来进行账单的细分管理,控制云上成本。
方案架构
某科技公司的一个开发账号,日常有三名员工需要使用云上资源:
用户 A 是开发负责人,需要管理开发部门下相关的云资源。
用户 B 是开发团队的开发人员,负责应用 App1 的开发工作,需要管理 App1 相关的云资源。
用户 C 是运维团队的开发人员,负责应用 App3的开发工作,需要管理 App3 相关的云资源。
操作步骤
步骤 1:准备账号
请提前准备好4个账号,具体情况如下:
说明:
标签管理员账号:用于创建标签、创建权限策略等。
子用户 UserA:用户 A 使用,用于验证能够访问开发团队下应用 App1 和 App2 的资源。
子用户 UserB:用户 B 使用,用于验证仅可以访问应用 App1 的资源。
子用户 UserC:用户 C 使用,用于验证仅可以访问应用 App3 的资源。
步骤 2:创建层级标签
1. 标签规划:企业管理员需要根据资源管理规划、建立标签体系,创建 5 层的标签结构。
注意:
在设计层级标签体系时,应遵循以下原则:
标签键(Key)需保持通用性。
标签值(Value)体现具体区分特征。
示例说明:
不合理设计:标签键设为"负责人张三", 标签值设为"张三"。
合理设计:标签键设为"负责人",标签值设为"张三"。
这种设计方式的优势:
支持标签值扩展。
避免标签键过度细分造成资源浪费。
保持标签体系的简洁性和可维护性。
标签键 | 标签值 |
公司 | 科技公司 |
部门 | 游戏 |
团队 | 开发、运维 |
环境 | 测试环境、开发环境 |
应用 | App1、App2、App3 |
注意:
请使用标签管理员账号进行操作。
步骤 3: 为资源关联层级标签
注意:
请使用标签管理员账号进行操作。
层级标签创建完成后,就可以为资源关联标签,在层级标签关联中,同一个资源需要绑定上所有层级的标签。例如,App1 下的资源需要绑定的一组标签为:
公司:科技公司
部门:游戏
团队:开发
环境:测试环境
应用:App1
步骤 4:为用户授权控制资源管理权限
本文以子用户分层管理云上资源为例。
1. 基于标签创建权限策略。
注意:
请使用标签管理员账号进行操作。
新建三个策略:UserA、UserB 和 UserC,并根据管理的层级按需关联相应的标签,策略创建完成后将具有一类标签属性资源的权限,具体操作请参见 通过标签授权创建自定义策略,关联标签示例如下所示:
权限策略 UserA 关联标签:
团队: 开发
权限策略 UserB 关联标签:
应用:App1
权限策略 UserC 关联标签 :
应用:App 3 
2. 为子用户授权。
注意:
请使用标签管理员账号进行操作。
3. 登录子用户账号验证效果。
注意:
请以子用户 UserA、UserB、UserC 的账号分别进行操作。
分别切换子用户 UserA、UserB、UserC 登录 腾讯云验证效果,最终实现用户 A 能够访问应用 App1 和 App2 下的全部资源,用户 B 仅可以访问应用 App1 的资源,用户 C 仅可以访问应用 App3 的资源。
步骤 5:使用标签进行分账
用户可根据分账维度(常见的分账维度包括按资源归属的使用部门、按资源的应用项目等), 将标签键设置为 分账标签,账单出具时通过账单结算记录中的资源关联显示对应的标签信息(即分账维度信息)实现云资源账单费用基于标签的分账。
