更新时间:2024-04-16 GMT+08:00

实践场景

A公司是企业用户,企业中有多个项目团队,需要为项目团队申请资源、配置人员、进行项目管理。本文针对A公司提出的企业需求,给出多项目管理最佳实践。

企业需求

  • 需求1:A公司需要同时在“region_01”、“region_02”创建多种资源,并将其按需分配给两个项目团队,两个项目中的资源相互隔离。
  • 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。

解决方案

  • 针对需求1:当前提供的企业管理服务(EM)和统一身份认证服务(IAM),均可实现项目之间的资源隔离,但两种服务的实现逻辑及功能不同。
    • 企业管理服务:在企业管理服务中创建企业项目,企业项目之间的资源是逻辑隔离,针对企业不同项目间的资源进行分组和管理,一个企业项目中可以包含多个区域的资源。企业项目之间的资源可以动态的迁入和迁出。
    • 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。IAM项目之间的资源无法动态地迁入和迁出。
综上,企业管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,推荐A公司使用企业管理服务进行项目资源管理,以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别,请参见:IAM和企业管理的区别
  • 针对需求2:A公司需要配合使用企业管理服务和统一身份认证服务,在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源使用权限。
    图1 A公司人员配置模型
    表1 A公司各用户组权限配置模型

    用户组

    职责

    所需权限

    描述

    开发组

    负责使用资源进行项目开发。

    弹性负载均衡(ELB)的所有执行权限。

    OBS Administrator

    对象存储服务(OBS)的所有执行权限。

    EPS FullAccess

    企业管理服务(EM)的所有执行权限。

    安全维护组

    负责项目的安全运维。

    ECS CommonOperations

    弹性云服务器(ECS)的普通操作权限。

    运营组

    负责所有项目的总体运营。

    EPS FullAccess

    企业管理服务的所有执行权限,包括修改、启用、停用、查看企业项目。

    如需了解所有云服务的系统权限,请参见:系统权限