账号是火山引擎一个独立的管理单元，可以理解为是租户，拥有独立的权限空间和资金账户。对于中小企业，或者是在企业上云的概念验证（POC）阶段，通过火山引擎官网注册一个账号并完成实名认证，即可开始使用火山引擎提供的各种服务。
对于集团性企业，随着业务不断上云，就需要考虑到组织机构广、部门和人员职责多的特点，进行账号体系的设计。设计的原则首先应当考虑业务、环境是否有比较严格的隔离要求，其次考虑如何对账号进行管理，需要部署哪些公共的服务以满足安全合规的要求。使用企业组织进行多账号的管理。

一图看懂云账号架构设计

在搭建好整个企业的账号架构之后，应重点关注企业内的员工身份和权限设计。员工身份需要能够方便的和云用户实现互通，确保访问。同时应当关注权限体系的设置，施行权限最小化原则，避免泄漏。可以使用火山引擎提供的企业身份中心实现高效的身份管理和权限配置

一图看懂企业身份管理

权限的管理简单来说是规定哪些人可以做哪些事，避免越权访问。火山引擎支持了基于策略（Policy）的权限管理体系，用于实现精细化的权限管理体系。策略可以理解为用JSON描述的一组规则，定义了谁可以做什么事情。为了理解规则如何定义，首先要理解几个权限体系中的概念：

• 身份主体（Principal）：指权限被授予的对象，通常是用户、用户组或角色。代表一个用户，也可以是一个系统应用。

• 操作（Action）：指权限授予的操作，比如服务器的开通，账单的下载等等。

• 效果（Effect）：指允许或者禁止某些操作。

• 资源（Resource）：指火山引擎上所有需要授权的资源，可以定位到不同颗粒度的资源描述。比如某台云服务器实例、EIP、某个镜像等等。使用资源可以将权限规则限制在某个具体的资源实例。

• 条件（Condition）：为了实现更精细化和灵活的规则定义，可以在规则中设置条件语句，限定权限生效的范围

火山引擎访问控制支持了非常灵活的规则描述语句，通过权限声明，将上述几个要素通过JSON实现描述，不仅仅定义了谁可以进行什么操作，还可将权限限定到具体的资源，或者是通过用户和资源上的一些属性来动态的控制权限范围。下面的图示可以简单的描述这几种授权模式：

使用访问策略提供的能力，可根据业务需求灵活的定义员工访问边界。在实际操作中应当注意施行权限最小化原则，避免数据泄漏和操作越权。