IAM和企业管理的区别
企业管理是提供给企业客户的与多层级组织和项目结构相匹配的云资源管理服务。主要包括企业项目管理、财务管理、应用管理、和人员管理。统一身份认证(Identity and Access Management,简称IAM)是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。
与IAM相同的是,企业管理可以进行人员管理及权限分配,不同的是,企业管理还可以管理财务及应用,同时企业管理对资源的授权粒度比IAM的更为精细,建议中大型企业使用企业管理服务。更多有关企业管理功能介绍,请参见:企业管理用户指南。
IAM和企业管理的区别
- 开通方式
- IAM是华为云的身份管理服务,注册系统后,无需付费即可使用。
- 企业管理是华为云的资源管理服务,注册系统后,可以自助申请开通,开通方法请参见:如何开通企业管理。
- 资源隔离
- IAM通过在区域中创建子项目,隔离同一个区域中的资源。以子项目为单位进行授权,用户可以访问指定子项目中的所有资源,详情请参见:项目。
- 企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。
- 支持的服务
- 使用IAM授权的云服务。
- 企业管理目前支持的服务请参见支持的云服务
检查规则
用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下:
- 用户发起访问请求。
- 系统在用户被授予的访问权限中,优先寻找基于IAM项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果在基于IAM项目的权限中没有找到请求对应的action,系统将继续寻找基于企业项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果用户不具备任何权限,系统将返回鉴权决定Deny,鉴权结束。