文档反馈
问问助手“项目”是火山引擎提供的一种资源管理工具,可用于将不同云产品下的资源进行分组,以便在项目维度上进行独立的访问控制和数据分析。本文以多云CDN为例,介绍如何使用项目对多云CDN资源进行分组管理,并按项目向 IAM 用户授予资源权限。
更多关于项目的介绍,请参见项目概述。
多云CDN资源类型
使用火山引擎项目可以管理以下多云CDN资源:
| 资源类型 | 说明 | TRN 格式 |
|---|---|---|
域名 | 指加速域名,包括内置CDN加速域名和第三方云服务商加速域名。
域名不区分来源。假设内置CDN加速包含 |
|
| 调度 | 指 多云调度 页面包含的调度实例 | trn:mcdn::${Account}:schedule/{Id} |
| 拨测任务 | 指 应用中心 > 快捷拨测 页面包含的拨测任务 | trn:mcdn::${Account}:probe/{Id} |
| 计费项 | 指在 成本中心 > 成本洞察 页面配置的计费项 | trn:mcdn::${Account}:billing_item/{Id} |
TRN 是资源在火山引擎中的唯一标识符。在编写自定义 IAM 授权策略时,您可以通过 TRN 来精确指定要授权的资源。其中 ${Account} 代表您的主账号 ID,${Id} 代表具体的资源 ID。更多信息,请参见资源(Resource)。
操作流程
使用项目管理多云CDN资源的典型流程如下:
- 创建自定义项目:在访问控制(IAM)控制台创建一个新的项目,用于组合特定的资源。
- 将资源移入项目:将需要统一管理的多云CDN资源(如域名、调度实例等)移入到新创建的项目中。
- 按项目为 IAM 用户授权:在为IAM 用户授予权限时,将其权限范围限定在指定的项目内。
步骤一:创建自定义项目
默认情况下,您的所有资源都归属于一个名为 default 的项目。如需进行资源隔离,您需要创建自定义项目。
- 登录火山引擎访问控制控制台。
- 在左侧导航栏,选择 资源项目 > 项目管理。
- 单击 新建项目,并根据界面提示完成项目创建。
步骤二:将资源移入项目
项目创建成功后,您需要将相关的多云CDN资源移入该项目进行统一管理。
- 在项目列表中找到目标项目,单击项目名称进入详情页。
- 选择 管理资源 页签,单击 资源移入。
- 在弹出的面板中,按向导完成操作:
- 选择资源:使用资源类型过滤器查找多云CDN资源,然后选择目标资源。
- 确认转入:确认信息无误。
- 查看结果:查看移入操作的结果。
步骤三:按项目为 IAM 用户授权
将资源移入项目后,您便可以在为 IAM 用户授权时,将权限的生效范围限定在该项目内,从而实现精细化的访问控制。
具体操作请参见使用 IAM 用户身份访问多云CDN 文档中的 步骤一:(主账号)创建 IAM 用户并授权 > (可选)限制到项目资源 部分的详细说明。
相关操作
查看项目内资源
在多云CDN控制台查看资源时,请注意页面左上角的项目选择器。页面仅展示选定项目下且当前身份允许读取的资源。
举例说明:
| 当前登录身份 | 当前项目选项 | 结果 |
|---|---|---|
| 主账号 | 账号全部资源 | 显示账号下的全部资源。 |
| 特定项目,如 default(默认项目) | 显示属于选定项目的全部资源。 | |
| IAM 用户 | 账号全部资源 | 显示该 IAM 用户允许读取的全部资源。 |
| 特定项目,如 default(默认项目) | 显示该 IAM 用户允许读取且属于选定项目的资源。 |
说明
如果您在列表中找不到预期的资源,请优先检查项目选择器是否正确,以及当前登录的 IAM 用户是否被授予了访问选定项目资源的权限。