金山云
文档中心
简介
术语说明
购买指导
计费模式和开通说明
产品简介
产品概述
产品功能
产品优势
使用场景
快速入门
最佳实践
用户使用手册
账号组管理
主账户信息
主账户访问密钥管理
用户管理
用户登录密码管理
用户访问密钥管理
用户授权管理
策略管理
用户登录
用户修改自己密码
IAM系统配额
金山云KRN
全局系统策略
附录:授权策略文档简介
策略文档元素解析
IAM授权评估逻辑
文档中心
>
下载PDF文档
IAM授权评估逻辑
IAM授权判断流程如下:
如果使用
主账户
的安全信任状(即AccessKey)进行签名发起请求,且访问对象Resource的
属主
是该主账户,那么授权通过,否则授权不通过
如果请求使用
IAM用户
的安全信任状进行签名发起请求,且访问对象Resource的属组是其所属主账户,那么此时调用权限评估接口,根据IAM用户身上附加的策略集合来判断是否授权通过。
在评估IAM用户身上的附加策略时采用
默认/隐式拒绝(default /implicit deny)
的原则:
3.1 如果操作请求被“显示拒绝(explicit deny)”,则返回“授权不通过”,否则进入下一步
3.2 如果操作请求被“显示授权(explicit allow)”,则返回“授权通过”,否则进入下一步
3.3 默认/隐式拒绝(default /implicit deny)所有操作请求,返回“授权不通过”
即
显示拒绝
>
"显示授权"
>
"默认/隐式拒绝"