许多企业希望使用多个云提供商作为其IT战略的一部分。这使他们能够利用来自不同云供应商的独特服务，并在灾难和恢复场景中保护应用程序可用性。但是，跨多个提供商运行需要更复杂的规划和管理，例如，管理其提供商的不同身份和访问管理（IAM）策略。设置正确的IAM策略是确保您在不同平台上的资源和数据安全的关键。

如果您有使用Amazon Web Services（AWS）IAM的经验，我们最近发布了一个指南，介绍如何在Google云平台（GCP）上思考IAM策略。这两个平台为资源和政策提供了不同的框架。在规划过程中理解这些概念很重要，因为可能无法直接从一个服务中的功能转换为另一个服务中的功能。

Google Cloud IAM中的一个关键概念是策略继承。GCP资源可以组织成带有项目、文件夹和组织的层次结构。策略沿层次结构向下继承。例如，如果您被授予组织中的"日志查看器"角色，您将能够自动读取在该组织下创建的项目和资源中的日志。在使用GCP IAM时，您需要通过规划创建的层次结构来映射到公司和团队结构，从而利用此功能。这将允许更简单的策略管理。

AWS策略过去是按单个资源的粒度进行管理的。最近，随着AWS组织的加入，您也可以开始对AWS资源应用相同的层次模型。另一个区别是GCP项目的概念，它是一种资源封装，为团队、应用程序或开发环境创建信任边界。

与AWS的另一个区别是GCP如何使用IAM角色提供权限组，这些权限组映射到人们工作职能的有意义方面。这些角色允许您授予对不同资源的相同访问权限，而不必每次都列出所有权限，这使您的策略更易于阅读和理解。GCP提供了许多预定义的角色，并将很快支持自定义角色。

指南详细讨论了这些概念，还比较了GCP和AWS IAM在其他领域的功能，如身份管理和自动化。我们希望它能帮助您跨多个提供商管理策略和权限。