企业组织vs多用户访问控制
更新时间:2025-08-22
概述
构建企业云上账户和资源管理体系是上云的前置动作之一,而区别在云上使用企业组织还是多用户访问控制,是设计好的账户和资源管理体系的关键。本文将详细对比企业组织和多用户访问控制的适用场景和区别,以助力客户用好云、管理好云上资源。
企业组织
适用于集团型企业、企业内部多部门或多个业务团队之间、代理商与客户等多层级结构的管理诉求,各个主体都是独立账户(具有独立账单),这些独立账户之间有组织层级关系,上层可以管理下层的财务和资源、控制下层账户的操作权限。
场景一:A集团拥有多个子公司,同一主体,A集团总公司和子公司之间既是相互关联的一个整体,也相对独立运行。
场景说明:
- 总公司和子公司都希望具有单独的使用账户,且可在百度智能云上单独使用。
- 总公司和子公司相互独立管理资源,总公司拥有对子公司的管理权限,可管理子公司账户内的资源。
- 总公司和子公司同一主体,总公司来统一支付总公司和子公司的账单。
场景二:代理商B拥有多个客户,代理商有管理这些客户的需求,同时代理商和每个客户之间有独立管理资源的需求;
场景说明:
- 出于安全考虑,代理商B希望客户有单独的使用账户。
- 代理商B拥有对客户的资源使用监管权限。
- 如果代理商B和客户合同终止,代理商B可以随时解除客户的授权。
多用户访问控制
适用于企业组织内的不同角色,可以对不同的业务人员赋予使用产品的不同权限,例如,只读,运维,管理,也可细化到资源级别,且子用户不需要对操作产生的费用单独支付。当你的企业存在不同的业务团队,且有不同的职责权限,推荐你使用多用户访问控制,使用子用户进行云资源的协作。
应用场景:某企业的A账户购买了多种云资源(例如:云服务器BCC,对象存储BOS,内容分发网络CDN等)。该企业拥有许多员工,包括开发人员、测试人员、运维人员等,由于每个员工的工作职责不同,所以需要的权限也不同,且员工不需要对操作产生的费用单独支付。
场景说明:
- 某企业的A账户可以为不同的工作人员赋予使用产品的不同权限,例如,只读,运维,管理,同时可以将控制权限细化到资源层级,例如,BCC某个实例的操作权限。
- 企业员工使用子用户账号进行登录使用,且不需要对操作产生的费用单独支付。
区别
| 区别 | 企业组织 | 多用户访问控制 |
|---|---|---|
| 资源归属 | 资源归属于各个账户,哪个账户开通/购买,就属于哪个账户。 | 子用户只有资源的使用权,没有拥有权。 |
| 资金和账单归属 | 企业组织中的每个账户为资金的拥有者,可以单独出账单,同时主账户可以申请开通财务管理权限,通过资金划拨的方式统一支付组织中所有子账户的账单。 | 账户为资金和计费的载体,子用户不会单独出账单,账户下所有子用户产生的资源费用都记在主账户下。 |
| 使用场景 | 适用于企业组织间,各个主体都是独立账户(具有独立账单),这些独立账户之间有组织层级关系,上层可以管理下层的财务和资源、控制下层账户的操作权限。 | 适用于企业组织内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,例如,只读,运维,管理,也可细化到资源级别,且子用户不需要对操作产生的费用单独支付。当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。 |
| 区别 | A公司拥有多个子公司,同一主体,A公司和子公司之间既是相互关联的一个整体,也相对独立运行。 场景说明: 1.A公司和子公司都希望具有单独的使用账户,且可在百度智能云上单独使用。 2.A公司和子公司相互独立管理资源,A公司拥有对子公司的监管权,可管理子公司的资源。 3.A公司和子公司同一主体,A公司拥有整体的财务结算权,A公司来统一支付A公司和子公司的账单。 |
某企业的A账户购买了多种云资源(例如:云服务器BCC,对象存储BOS,内容分发网络CDN等)。该企业拥有许多员工,包括开发人员、测试人员、运维人员等,由于每个员工的工作职责不同,所以需要的权限也不同,且员工不需要对操作产生的费用单独支付。 场景说明: 1.某企业的A账户可以为不同的工作人员赋予使用产品的不同权限,例如,只读,运维,管理,同时可以将控制权限细化到资源层级,例如,BCC某个instance的操作权限。 企业员工使用子用户账号进行登录使用,且不需要对操作产生的费用单独支付。 |