IAM與企業項目管理的區別

統一身份認證（Identity and Access Management，簡稱IAM）服務是提供用戶身份認證、權限分配、訪問控制等功能的身份管理服務。

企業項目管理是提供給企業客戶的與多層級組織和項目結構相匹配的云資源管理服務。主要包括企業項目資源管理和權限管理。

與IAM相同的是，企業項目管理可以進行人員管理及權限分配；企業項目管理對資源的授權粒度比IAM的更為精細，建議中大型企業使用企業項目管理服務。

IAM和企業管理的區別

• 開通方式
  • IAM是云平臺的身份管理服務，注冊系統后，無需付費即可使用。
  • 企業管理是云平臺的資源管理服務，注冊系統后，需提交客服工單申請開通，開通后無需付費免費使用。
• 資源隔離
  • IAM通過在每一個區域中創建項目，隔離不同區域中的資源。以項目為單位進行授權，用戶可以訪問指定項目中的所有資源。
  • 企業項目管理通過創建企業項目，隔離企業不同項目之間的資源，企業項目中可以包含多個區域的資源。企業項目還可以實現對特定云資源的授權，例如：將一臺特定的ECS添加至企業項目，對企業項目進行授權后，可以控制用戶僅能管理這臺特定的ECS。

IAM與企業管理的關系

• IAM和企業管理的創建用戶以及用戶組功能，兩邊是相互同步關系。

• 申請開通企業項目管理服務后，使用企業項目管理的用戶組授權功能時，該功能依賴IAM的策略授權。如果企業項目管理中系統預置的策略不能滿足您的使用要求，需要在IAM中創建自定義策略，自定義策略會同步到企業管理中，可以在IAM或者企業項目管理中給用戶組授權自定義策略。

• 如果在IAM和企業管理中同時給用戶組授權，用戶同時擁有基于IAM項目的策略和基于企業項目的策略，在發起訪問請求時，系統根據用戶被授權的訪問策略中的Action進行鑒權判斷。

  • 如果策略中包含相同的Action，以在IAM中設置的生效，例如：用戶請求創建彈性云主機，鑒權結果為IAM中定義的Deny，不能創建彈性云主機。

    IAM項目策略中包含以下action： 
    { 
      "Action": [ 
        "ecs:cloudServers:create" 
      ], 
      "Effect": "Deny" 
    } 
    
    企業項目策略中包含以下action： 
    { 
      "Action": [ 
        "ecs:cloudServers:create" 
      ], 
      "Effect": "Allow" 
    }
    

  • 如果策略中包含不同的Action，則IAM和企業管理中設置的都生效。以下示例表示用戶可以創建彈性云主機以及刪除彈性云主機。

    IAM項目策略中包含以下action： 
    { 
      "Action": [ 
        "ecs:cloudServers:create" 
      ], 
      "Effect": "Allow" 
    } 
    企業項目策略中包含以下action： 
    { 
      "Action": [ 
        "ecs:cloudServers:delete" 
      ], 
      "Effect": "Allow" 
    }
    

IAM項目與企業項目的區別

IAM項目

IAM項目是以每一個天翼云資源節點為粒度進行資源及服務隔離，是物理隔離。

IAM項目與資源節點一一對應，IAM項目中的資源不能轉移，只能刪除后重建。

企業項目

企業項目可理解為IAM項目的升級版，針對企業不同項目間資源的分組和管理，是邏輯隔離。

企業項目中可以包含多個區域的資源，且項目中的資源可以遷入遷出。企業項目可以實現對特定云資源的授權，例如：將一臺特定的ECS添加至企業項目，對企業項目進行授權后，可以控制用戶僅能管理這臺特定的ECS。如果您開通了企業管理，將不能創建IAM項目。

企業項目中可以包含多個區域的資源，且項目中的資源可以遷入遷出。企業項目可以實現對特定云資源的細粒度授權，例如：將一臺特定的ECS添加至企業項目，對企業項目進行授權后，可以控制用戶僅能管理這臺特定的ECS。

區域和可用區

什么是區域、可用區？

區域和可用區用來描述數據中心的位置，您可以在特定的區域、可用區創建資源。

• 區域（Region）指物理的數據中心。每個區域完全獨立，這樣可以實現最大程度的容錯能力和穩定性。資源創建成功后不能更換區域。
• 可用區（AZ，Availability Zone）是同一區域內，電力和網絡互相隔離的物理區域，一個可用區不受其他可用區故障的影響。一個區域內可以有多個可用區，不同可用區之間物理隔離，但內網互通，既保障了可用區的獨立性，又提供了低價、低時延的網絡連接。

圖 區域和可用區

如何選擇區域？

建議就近選擇靠近您或者您的目標用戶的區域，這樣可以減少網絡時延，提高訪問速度。

如何選擇可用區？

是否將資源放在同一可用區內，主要取決于您對容災能力和網絡時延的要求。

• 如果您的應用需要較高的容災能力，建議您將資源部署在同一區域的不同可用區內。
• 如果您的應用要求實例之間的網絡延時較低，則建議您將資源創建在同一可用區內。