统一身份认证服务 IAM-实践场景:解决方案

时间：2025-02-12 15:15:10

针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（ IAM ），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。
- 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台E CS 服务器。
- 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。

综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。

针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。

图1 A公司人员配置模型
点击放大

表1 A公司各用户组权限配置模型
用户组	职责	所需权限	描述
财务组	负责管理项目费用的使用情况。	Enterprise Project BSS FullAccess	企业项目费用的管理权限。
开发组	负责使用资源进行项目开发。	ECS FullAccess	弹性云服务器（ECS）的所有执行权限。
		OBS FullAccess	对象存储服务（OBS）的所有执行权限。
		ELB FullAccess	弹性负载均衡（ELB）的所有执行权限。
安全维护组	负责项目的安全运维。	ECS CommonOperations	弹性云服务器（ECS）的普通操作权限。
安全维护组	负责项目的安全运维。	CAD Administrator	DDoS高防服务（AAD）的所有执行权限。
运营组	负责所有项目的总体运营。	EPS FullAccess	企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。