本文为您介绍了几种不同的权限策略检查规则,掌握权限策略检查规则可以更好的理解权限策略。
权限策略检查规则
在RAM中访问阿里云资源分为三种类型:以主账号身份访问、以RAM用户身份访问或以RAM角色身份访问。
针对上述不同的访问类型,系统的权限检查规则如下表所示。
访问类型 | 权限检查规则 |
---|---|
以主账号身份访问 | 主账号是资源所有者,默认可以访问该账号下的所有资源。
说明 少数阿里云产品(例如:日志服务)支持跨云账号进行访问控制列表(ACL)授权,如果通过ACL授权检查,则允许访问相应资源。
|
以RAM用户身份访问 |
说明 RAM用户访问资源时,默认没有任何权限。以上条件需同时满足,RAM用户才能访问相应资源。
具体权限检查规则请参见RAM用户的权限策略检查规则。 |
以RAM角色身份访问 |
说明 RAM角色访问资源时,默认没有任何权限。以上条件需同时满足,RAM角色才能访问相应资源。
具体权限检查规则请参见RAM角色的权限策略检查规则。 |
RAM用户的权限策略检查规则
RAM用户默认没有任何权限,主账号对RAM用户进行显示授权后,RAM用户可以访问相应的资源。
说明 权限策略支持Allow(允许)和Deny(禁止)两种授权类型,当同时出现Allow和Deny授权时,遵循Deny优先原则。

- 检查RAM用户所绑定权限策略:
- 如果有Deny授权,判定为:拒绝访问。
- 否则,需要进行下一步检查。
- 检查RAM用户所属的主账号是否有访问权限:
- 如果有Allow授权,判定为:允许访问。
- 否则,需要进行下一步检查。
- 检查RAM用户所属的主账号是否有跨账号ACL授权:
- 如果有ACL授权,判定为:允许访问。
- 否则,判定为:拒绝访问。
RAM角色的权限策略检查规则
RAM角色可以使用角色访问令牌访问阿里云资源。调用API AssumeRole,其中请求参数Policy可以控制访问阿里云资源的权限。

- 检查访问令牌是否有指定权限策略:
- 如果有指定权限策略,需要查看是否有Deny授权:
- 如果有Deny授权,判定为:拒绝访问。
- 否则,需要检查RAM角色所绑定的权限策略。
- 如果没有指定权限策略,需要检查RAM角色所绑定的权限策略。
- 如果有指定权限策略,需要查看是否有Deny授权:
- 检查RAM角色所绑定的权限策略:
- 如果有Deny授权,判定为:拒绝访问。
- 否则,需要进行下一步检查。
- 检查RAM角色所属的主账号是否有访问权限:
- 如果有Allow授权,判定为:允许访问。
- 否则,需要进行下一步检查。
- 检查RAM角色所属的主账号是否有跨账号ACL授权:
- 如果有ACL授权,判定为:允许访问。
- 否则,判定为:拒绝访问。
在文档使用中是否遇到以下问题
更多建议
匿名提交