文档首页 > > 常见问题> IAM和企业管理的区别

IAM和企业管理的区别

分享
更新时间: 2019/09/23 10:23

企业管理是提供给企业客户的与多层级组织和项目结构相匹配的云资源管理服务。主要包括企业项目管理、财务管理、人员管理和应用管理。统一身份认证(Identity and Access Management,简称IAM)是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。

与IAM相同的是,企业管理可以进行人员管理及权限分配,不同的是,企业管理还可以管理财务及应用,同时企业管理对资源的授权粒度比IAM的更为精细,建议中大型企业使用企业管理服务。更多有关企业管理功能介绍,请参见:企业管理用户指南

IAM和企业管理的区别

  • 开通方式
    • IAM是华为云的身份管理服务,注册系统后,无需付费即可使用。
    • 企业管理是华为云的资源管理服务,注册系统后,可以自助申请开通,开通方法请参见:如何开通企业管理
  • 资源隔离
    • IAM通过在区域中创建子项目,隔离同一个区域中的资源。以子项目为单位进行授权,用户可以访问指定子项目中的所有资源。
    • 企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。
  • 支持的服务
    • IAM支持华为云所有服务的授权。
    • 企业管理目前仅支持:弹性云服务器( ECS )、弹性伸缩( AS )、镜像服务( IMS )、云硬盘( EVS )、虚拟私有云( VPC )、弹性公网IP( EIP )、内容分发网络( CDN )、关系型数据库( RDS )、分布式缓存服务( DCS )、文档数据库服务( DDS )、云容器引擎服务( CCE )、DDoS高防服务( AAD )、裸金属服务器( BMS )、专属主机( DeH )、微服务引擎( CSE )、弹性文件服务( SFS )、软件开发云( DevCloud )、MapReduce服务( MRS )、弹性负载均衡服务( ELB )、分布式数据库中间件( DDM )、云搜索服务( CSS )、实时流计算服务( CS )、对象存储服务( OBS )、分布式消息服务( DMS )、数据仓库服务( DWS )、NAT网关( NAT )、数据湖探索( DLI )。

IAM与企业管理的关系

  • IAM和企业管理的创建用户以及用户组功能,两边是相互同步关系。
  • 申请开通企业管理服务后,使用企业管理的用户组授权功能时,该功能依赖IAM的细粒度授权,请您申请开通细粒度授权功能。如果企业管理中系统预置的策略不能满足您的使用要求,需要在IAM中创建自定义策略,自定义策略会同步到企业管理中,可以在IAM或者企业管理中给用户组授权自定义策略。
  • 如果在IAM和企业管理中同时给用户组授权,用户同时拥有基于IAM项目的策略和基于企业项目的策略,在发起访问请求时,系统根据用户被授权的访问策略中的Action进行鉴权判断。
    • 如果策略中包含相同的Action,以在IAM中设置的生效,例如:用户请求创建云服务器,鉴权结果为IAM中定义的Deny,不能创建云服务器。
      IAM项目策略中包含以下action:
      {
        "Action": [
          "ecs:cloudServers:create"
        ],
        "Effect": "Deny"
      }
      
      企业项目策略中包含以下action:
      {
        "Action": [
          "ecs:cloudServers:create"
        ],
        "Effect": "Allow"
      }
    • 如果策略中包含不同的Action,则IAM和企业管理中设置的都生效。以下示例表示用户可以创建云服务器以及删除云服务器。
      IAM项目策略中包含以下action:
      {
        "Action": [
          "ecs:cloudServers:create"
        ],
        "Effect": "Allow"
      }
      企业项目策略中包含以下action:
      {
        "Action": [
          "ecs:cloudServers:delete"
        ],
        "Effect": "Allow"
      }

检查规则

用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下:

图1 请求鉴权逻辑图

  

  1. 用户发起访问请求。
  2. 系统在用户被授予的访问策略中,优先寻找基于IAM项目授权的策略,在策略中寻找请求对应的action。
  3. 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
  4. 如果在基于IAM项目的策略中没有找到请求对应的action,系统将继续寻找基于企业项目授权的策略,在策略中寻找请求对应的action。
  5. 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
  6. 如果用户不具备任何策略,系统将返回鉴权决定Deny,鉴权结束。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区