集团公司有多个子公司在金山云购买了云计算资源,每个子公司的云资源互相隔离,且财务独立核算,集团公司希望能够具备统一管理并查看这些公司云计算资源、订单和账单的权限。
账号组-账号适用于这种场景,既满足了资源隔离和财务独立核算的需求,也能够让集团公司集中管理、查询全部子公司的资源和财务情况。
企业Alice在金山云购买多种云计算资源(如KEC实例/RDS实例/SLB实例/KS3存储等),其不同部门的员工需要操作这些资源,由于员工的职责不一样,所需要的权限也不一样。
为了降低企业信息安全风险,企业Alice不希望共享其云账号的密码/访问密钥给所有需要的员工(等于授权所有操作权限),而是希望给每个员工能够完成其工作的最小管理权限的用户账号(或称子账号),且这些用户账号的权限可以灵活赋予和收回,用户账号也可以被云账号随时禁用或删除。
用户账号只有在授权后能够操作相应资源,不需要独立的计量计费,成本开销都归属于企业Alice。
账号-IAM用户适用于这种场景,既满足了授权管理的需求,也降低了共享账号的风险。