本文为您介绍了几种不同的权限策略检查规则,掌握权限策略检查规则可以更好的理解权限策略。

权限策略检查规则

在RAM中访问阿里云资源分为三种类型:以主账号身份访问、以RAM用户身份访问或以RAM角色身份访问。

针对上述不同的访问类型,系统的权限检查规则如下表所示。

访问类型 权限检查规则
以主账号身份访问 主账号是资源所有者,默认可以访问该账号下的所有资源。
说明 少数阿里云产品(例如:日志服务)支持跨云账号进行访问控制列表(ACL)授权,如果通过ACL授权检查,则允许访问相应资源。
以RAM用户身份访问
  • 主账号对RAM用户有显式的授权。
  • RAM用户所属的主账号对资源有访问权限。
  • RAM用户所属的主账号有跨账号ACL授权。
说明 RAM用户访问资源时,默认没有任何权限。以上条件需同时满足,RAM用户才能访问相应资源。

具体权限检查规则请参见RAM用户的权限策略检查规则
以RAM角色身份访问
  • RAM角色令牌有相应的权限策略。

    RAM角色令牌相关信息,请参见什么是STS

  • 主账号对RAM角色有显式的授权。
  • RAM角色所属的主账号对资源有访问权限。
  • RAM角色所属的主账号有跨账号ACL授权
说明 RAM角色访问资源时,默认没有任何权限。以上条件需同时满足,RAM角色才能访问相应资源。

具体权限检查规则请参见RAM角色的权限策略检查规则

RAM用户的权限策略检查规则

RAM用户默认没有任何权限,主账号对RAM用户进行显示授权后,RAM用户可以访问相应的资源。

说明 权限策略支持Allow(允许)和Deny(禁止)两种授权类型,当同时出现Allow和Deny授权时,遵循Deny优先原则。
RAM用户的权限策略检查规则
  1. 检查RAM用户所绑定权限策略:
    • 如果有Deny授权,判定为:拒绝访问。
    • 否则,需要进行下一步检查。
  2. 检查RAM用户所属的主账号是否有访问权限:
    • 如果有Allow授权,判定为:允许访问。
    • 否则,需要进行下一步检查。
  3. 检查RAM用户所属的主账号是否有跨账号ACL授权:
    • 如果有ACL授权,判定为:允许访问。
    • 否则,判定为:拒绝访问。

RAM角色的权限策略检查规则

RAM角色可以使用角色访问令牌访问阿里云资源。调用API AssumeRole,其中请求参数Policy可以控制访问阿里云资源的权限。

RAM角色的权限策略检查规则
  1. 检查访问令牌是否有指定权限策略:
    • 如果有指定权限策略,需要查看是否有Deny授权:
      • 如果有Deny授权,判定为:拒绝访问。
      • 否则,需要检查RAM角色所绑定的权限策略。
    • 如果没有指定权限策略,需要检查RAM角色所绑定的权限策略。
  2. 检查RAM角色所绑定的权限策略:
    • 如果有Deny授权,判定为:拒绝访问。
    • 否则,需要进行下一步检查。
  3. 检查RAM角色所属的主账号是否有访问权限:
    • 如果有Allow授权,判定为:允许访问。
    • 否则,需要进行下一步检查。
  4. 检查RAM角色所属的主账号是否有跨账号ACL授权:
    • 如果有ACL授权,判定为:允许访问。
    • 否则,判定为:拒绝访问。