IAM与企业项目管理的区别
统一身份认证(Identity and Access Management,简称IAM)服务是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。
企业项目管理是提供给企业客户的与多层级组织和项目结构相匹配的云资源管理服务。主要包括企业项目资源管理和权限管理。
与IAM相同的是,企业项目管理可以进行人员管理及权限分配;企业项目管理对资源的授权粒度比IAM的更为精细,建议中大型企业使用企业项目管理服务。
IAM和企业管理的区别
- 开通方式
- IAM是云平台的身份管理服务,注册系统后,无需付费即可使用。
- 企业管理是云平台的资源管理服务,注册系统后,需提交客服工单申请开通,开通后无需付费免费使用。
- 资源隔离
- IAM通过在每一个区域中创建项目,隔离不同区域中的资源。以项目为单位进行授权,用户可以访问指定项目中的所有资源。
- 企业项目管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。
IAM与企业管理的关系
-
IAM和企业管理的创建用户以及用户组功能,两边是相互同步关系。
-
申请开通企业项目管理服务后,使用企业项目管理的用户组授权功能时,该功能依赖IAM的策略授权。如果企业项目管理中系统预置的策略不能满足您的使用要求,需要在IAM中创建自定义策略,自定义策略会同步到企业管理中,可以在IAM或者企业项目管理中给用户组授权自定义策略。
-
如果在IAM和企业管理中同时给用户组授权,用户同时拥有基于IAM项目的策略和基于企业项目的策略,在发起访问请求时,系统根据用户被授权的访问策略中的Action进行鉴权判断。
-
如果策略中包含相同的Action,以在IAM中设置的生效,例如:用户请求创建弹性云主机,鉴权结果为IAM中定义的Deny,不能创建弹性云主机。
IAM项目策略中包含以下action: { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 企业项目策略中包含以下action: { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } -
如果策略中包含不同的Action,则IAM和企业管理中设置的都生效。以下示例表示用户可以创建弹性云主机以及删除弹性云主机。
IAM项目策略中包含以下action: { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 企业项目策略中包含以下action: { "Action": [ "ecs:cloudServers:delete" ], "Effect": "Allow" }
-
IAM项目与企业项目的区别
IAM项目
IAM项目是以每一个天翼云资源节点为粒度进行资源及服务隔离,是物理隔离。
IAM项目与资源节点一一对应,IAM项目中的资源不能转移,只能删除后重建。
企业项目
企业项目可理解为IAM项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。
企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。如果您开通了企业管理,将不能创建IAM项目。
企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的细粒度授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。
区域和可用区
什么是区域、可用区?
区域和可用区用来描述数据中心的位置,您可以在特定的区域、可用区创建资源。
- 区域(Region)指物理的数据中心。每个区域完全独立,这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。
- 可用区(AZ,Availability Zone)是同一区域内,电力和网络互相隔离的物理区域,一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区,不同可用区之间物理隔离,但内网互通,既保障了可用区的独立性,又提供了低价、低时延的网络连接。
图 区域和可用区
如何选择区域?
建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。
如何选择可用区?
是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。
- 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。
- 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内。
