[ 功能建议 ]账号关联多个资源组和权限组时，权限组和资源组能否一一对应

[dmz-leon]

账号关联了测试环境和生产环境的资源组以及权限组，测试环境的功能是全部开放，生产环境需要admin审批才能拥有权限。在SQL查询的时候，原本生产环境的查询需要经过审批，在生产环境的权限组也进行了权限限制，但是因为测试环境的权限组里有可以查询资源组内所有实例，导致生产环境资源组里的实例也有可以查询。

希望能够做到资源组和权限组的对应，在账号同时关联多个资源组和权限组的时候，而不是现在这样通过账号去关联

[hhyo]

这个问题按照项目目前的权限设计挺无解，顺便梳理一下现在的几个定义

• 资源组-- 项目组
  隔离用户可访问的资源，比如实例

• 权限组-- 角色
  区分用户对资源的操作权限，比如对实例的增删改查权限，为全局概念，具体讨论可参考[问题] 请问权限组里面的人看不到发起人的工单是怎么回事 #84 (comment)

用户通过关联资源组和权限组，就可以知道用户拥有哪些资源，同时对资源有什么操作权限，也就是说权限的作用域是用户所在资源组的所有资源

回到问题上面，用户关联了拥有可以查询资源组内所有实例的权限组，则用户可以查询所有资源组的实例数据，这样看逻辑没问题

你的场景是希望权限的作用域直接限制在指定资源组上面，用户和资源组之间没有关系，通过权限组连接。即资源组去关联权限组，用户去关联权限组，从而使用户针对不同资源组的资源拥有不同的权限

这样确实可以实现，但是导致的结果就是，每增加一个资源组，都需要按照项目内成员角色给该资源组建立对应的权限组，并且关联上，其实当初把角色定义为全局概念就是为了避免这个~

说下可能的解决方案：

1. 单独部署两套环境，将test和beta、ga等需要审批的环境隔离
2. 类似SQL上线，给SQL查询也开启自动审批配置，可按照标签配置指定实例无需审批可以直接查询

第一种代价比较大，第二种就可能相对合理一些，但是适用范围仅限与此，后续如果还有其他场景则不兼容