华为云账号体系

1、华为账号

华为帐号即HUAWEI ID，是用户访问华为各网站的一致“身份标识”，您只需注册一个华为帐号，即可访问所有华为服务（包括华为商城）。您可以在华为帐号网站进行注册、管理华为帐号并取得有关华为帐号的更多信息

限制：

• 用户经过手机号或邮件地址注册成为华为帐号，注册时手机号或邮件地址不允许重复
• 注册需使用中国大陆的手机号码。
• 一个手机号可以注册3个华为帐号，如帐号数量已到达3个，将不支持使用该手机号注册新的华为帐号。

2、华为云账号

华为云帐号，仅能登录华为云，没法登录其他华为服务。

限制：

• 注册：2020年12月30日之前在华为云注册的帐号。为了一致帐号，提升登录体验，当前在华为云只能注册华为帐号。
• 华为云账号可升级为华为账号；升级为华为账号后，不支持用华为云账号登录

3、华为官网账号

华为官网账号，即华为Uniportal ID，可经过华为官网注册

限制：

• 用户经过手机号或邮件地址注册成为华为Uniportal帐号，注册时手机号或邮件地址不允许重复。
• 首次登录时需要针对系统提示创建或绑定已有华为云帐号，后续可以经过该帐号自动跳转登录。
• 可以为创建的华为云账号设置密码或绑定已有的华为云帐号，使用华为云账号在华为云账号入口登录。

4、华为企业合作火伴

华为企业合作火伴，可以使用华为Uniportal ID登录华为云。

限制：

• 用户经过手机号或邮件地址注册成为华为Uniportal帐号，注册时手机号或邮件地址不允许重复。
• 首次登录时需要针对系统提示创建或绑定已有华为云帐号，后续可以经过该帐号自动跳转登录。
• 可以为创建的华为云账号设置密码或绑定已有的华为云帐号，使用华为云账号在华为云账号入口登录。

综上所述，华为云的账号体系其实就3个ID（华为云账号、华为账号、华为官网账号），由于华为云账号现需要和其他两个账号做关联，其中下面主要说下华为账号和华为官网账号在华为云的区分：

• 华为账号（HUAWEI ID）和华为官网账号（Uniportal ID）是两个独立的ID，华为账号主要是为消费者服务，而华为官网账号主要是为企业服务，2者其实不冲突。
• 不管是华为云升级后的华为账号，还是华为账号下开通华为云业务，华为账号在华为云只能经过华为账号入口登录。
• 华为官网账号登录可以创建或绑定已有华为云帐号，该华为云账号可单独经过华为账号入口登录。
• 现华为云账号已不能单独注册。现存华为云账号升级为华为账号后，需使用华为账号登录华为云，而不能再使用华为云账号登录。

这时候问题来了，企业业务常常比较复杂，单靠以上几种账号管控，肯定是不够用的。但别急，IAM一致身份认证帮您解决。

IAM权限管控

一致身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问权限。

一、用户

1、IAM用户

上述华为云账号体系的账号（下面统称“账号”）可在华为云创建IAM用户，账号与IAM用户的关系可类比为父子关系，IAM用户是由管理员在IAM中创建的用户，IAM用户登录后可针对权限使用云服务。

如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或利用程序需要使用您在华为云中的资源，您可使用IAM的用户管理功能，给员工或利用程序创建IAM用户，并授与IAM用户恰好能完成工作所需的权限，新创建的IAM用户可使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。

2、企业联邦用户

企业联邦用户：与华为云建立信任关系的第3方系统用户。用户可使用第3方系统帐号登录华为云，类似经过某社交帐号登录游戏平台。它是一个虚拟IAM用户。IAM支持基于SAML、OIDC协议的单点登录，如果您已有自己的企业管理系统，同时您的用户需要使用您帐号内的云服务资源，您可使用IAM的身份提供商功能，实现用户使用企业管理系统帐号单点登录华为云，这一进程称之为联邦身份认证。

当您希望本企业员工可使用企业内部的认证系统登录华为云，而不需要在华为云中重新创建对应的IAM用户，您可使用IAM的身份提供商功能，建立您所在企业与华为云的信任关系，经过联合认证使员工使用企业已有帐号直接登录华为云，实现单点登录。

管理员可在IAM中创建的企业身份提供商用户。

2、用户组

用户组是用户的汇聚，IAM经过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具有对应的权限，否则IAM用户没法访问您账号中的任何资源或云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集.

通俗来说，用户组其实就是IAM用户（包括虚拟IAM用户）的角色

3、拜托管理

经过拜托信任功能，您可以将自己的操作权限拜托给更专业、高效率的其他帐号或云服务，这些帐号或云服务可以针对权限代替您进行平常工作。

IAM提供拜托其他云账号和拜托其他云服务两类拜托。

1、拜托其他华为云账号管理资源

经过拜托信任功能，您可以将自己账号中的资源操作权限拜托给更专业、高效率的其他华为云账号，被拜托的账号可以针对权限代替您进行资源运维工作。以下以A账号拜托B账号管理资源为例，讲述拜托的原理及方法。A账号为拜托方，B账号为被拜托方。

2、拜托其他云服务管理资源

由于华为云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务拜托，将操作权限拜托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。

以GES为例：将操作权限拜托给GES，允许GES以您的身份使用其他服务，例如产生故障转移时，GES使用这个拜托将您的弹性IP绑定到主GES负载均衡实例。

关联账号和关联合作火伴

1、企业主子账号

企业主帐号可以约请普通帐号建立关联关系或消除与企业子帐号的关联关系。
企业主账号和企业子账号均是同一层级的华为帐号。

企业主账号：开通了企业中心功能的华为帐号（账号类型需设置为“企业”，同时未加入经销商火伴计划），目的是实现账号间资金划转，从而满足中大范围企业各个子公司/部门之间的资金管理诉求，实现多账号的商务优惠、资金、发票、账单一致管理。

企业中心提供了多个相互独立的华为帐号之间构成企业主子账号关联关系的能力，客户可以经过开通企业中心功能肯定主账号，同时针对自己的企业结构创建多层组织、新建子账号或关联子账号，从而对子账号的财务进行管理。

企业主账号约请其他华为帐号成为企业子账号时，需满足一定条件，单击此处查看

主帐号可以给子帐号划拨费用，并由子帐号独立进行资源管理，子帐号的作用是方便主帐号进行费用管理和本钱核算。

2、经销商火伴账号

对成功加入了经销商火伴计划的华为云合作火伴，系统将绑定其华为帐号（帐号需满足一定条件，单击此处查看）成为经销商火伴账号，登录方式保持不变。

经销商火伴账号属于管理账号，具有不同于普通华为帐号的各种管理功能，用于经销商火伴拓展和管理其关联子客户，实行拉新，授信，销售，出账，付款等职责。经销商火伴账号可关联多个华为帐号，完成和经销商帐号关联的华为帐号即成为此经销商的子客户。

说明：

经销商火伴账号不能直接购买华为云资源，如经销商火伴需要自购华为云资源，则需要新开通一个华为帐号并开通华为云业务进行购买消费。
对技术合作火伴，由于其合作属性是基于华为云提供各类技术服务和上层利用，可直接使用华为帐号进行华为云资源的购买和消费。

最后，奉上客户视角，华为云各账号关系style="background-color: rgba(245, 245, 246, 0.4);">参考文档

1、华为云帐号、华为帐号、IAM用户、企业主子帐号的关系

2、华为云账号权限管理建议

3、登录华为云的方式

4、IAM的束缚与限制

5、账号中心