导航
企业组织与访问控制IAM术语辨析
最近更新时间:2023.04.12 11:39:00首次发布时间:2022.12.26 10:59:22
本文档旨在澄清企业组织与账号访问控制(IAM)下的身份术语。
火山引擎身份体系术语表
| 领域 | 术语 | 释义 | 唯一标识 |
|---|---|---|---|
| 企业组织 | 企业组织 | 企业组织是一组火山引擎账号,账号间具备树状结构。企业组织代表一个企业客户实体在火山引擎管理身份和资源的架构。 企业组织可帮助企业内多个账号代表的业务实体进行统一的资源和权限管理,保障资源可扩展的同时保证架构的可视和可控。 | 企业组织ID |
| 企业组织 | 管理员账号 | 管理员账号也是火山引擎账号,但在其创建的企业组织中是唯一的具有组织管理权限的账号,拥有对组织架构以及组织下所有成员账号的资源访问和管理的权限。 | 火山引擎账号ID |
| 企业组织 | 成员账号 | 成员账号也是火山引擎账号,是在企业组织中被管理员账号创建或邀请进入组织的账号,一个组织内可拥有多个成员账号。一个成员账号实际代表一个资源独立隔离的租户,可以关联一个独立的身份(子公司、公司部门等)作为完整账号使用;也可以不关联身份、不登录控制台,仅作为资源容器、通过管理员角色扮演来访问和操作账号下的资源。 | 火山引擎账号ID |
| 企业组织 | 部门 | 在企业组织的树状组织结构中,部门是承载组织结构的一个节点,其下可以包含其他部门/账号,部门节点也可以属于其他部门节点或组织的根节点。 | 企业组织ID+部门ID |
| 访问控制 | 访问控制 | 访问控制是针对单个火山引擎账号内的资源访问和操作的权限管理、身份管理服务。在某个火山引擎账号的访问控制身份体系中:可以创建代表不同自然人、不同业务分工的子用户,也可以创建代表不同权限范围的角色。 | - |
| 访问控制 | 子用户 | 子用户是单个火山引擎账号下的身份,企业客户内部为云资源的多个使用者创建的身份,也称为IAM用户,通常对应企业内的员工。一个火山引擎账号下通常包含多个子用户,通过一定的权限控制,共享账号下的资源。 | 火山引擎账号ID+子用户ID |
| 访问控制 | 用户组 | 用户组是单个火山引擎账号下的一组子用户,通常包含具有相同特征的一类子用户。您可以基于用户组对子用户授予权限,从而更高效的管理云上资源权限。 | 火山引擎账号ID+用户组ID |
火山引擎身份体系示意图
火山引擎身份体系示意见下图:
火山引擎身份体系最佳实践建议
- 一个企业组织有且仅有一个管理员账号,火山引擎推荐您将该账号仅用于企业组织的管理。为了保证管理员账号的安全性,建议您创建一个新的账号,来创建企业组织,避免将已有其他用途的火山引擎账号作为企业组织的管理员账号。
- 在使用管理员账号管理企业组织时,与常规火山引擎账号一样,账号下的业务操作不建议使用账号的根用户进行:推荐您为管理账号创建一个IAM用户并授予最高管理权限,并使用该IAM用户执行企业组织中的管理操作。