IAM授权评估逻辑

最近更新时间:2017-12-21 21:18:04

IAM授权评估逻辑

IAM授权判断流程如下:

  1. 如果使用主账户的安全信任状(即AccessKey)进行签名发起请求,且访问对象Resource的属主是该主账户,那么授权通过,否则授权不通过
  2. 如果请求使用IAM用户的安全信任状进行签名发起请求,且访问对象Resource的属组是其所属主账户,那么此时调用权限评估接口,根据IAM用户身上附加的策略集合来判断是否授权通过。
  3. 在评估IAM用户身上的附加策略时采用默认/隐式拒绝(default /implicit deny)的原则:

    • 3.1 如果操作请求被“显示拒绝(explicit deny)”,则返回“授权不通过”,否则进入下一步
    • 3.2 如果操作请求被“显示授权(explicit allow)”,则返回“授权通过”,否则进入下一步
    • 3.3 默认/隐式拒绝(default /implicit deny)所有操作请求,返回“授权不通过”

    显式拒绝>"显式授权">"默认/隐式拒绝"

金山云,开启您的云计算之旅

注册有礼