IAM授权评估逻辑

最近更新时间:2017-12-21 21:18:04

查看PDF

IAM授权评估逻辑

IAM授权判断流程如下:

  1. 如果使用主账户的安全信任状(即AccessKey)进行签名发起请求,且访问对象Resource的属主是该主账户,那么授权通过,否则授权不通过

  2. 如果请求使用IAM用户的安全信任状进行签名发起请求,且访问对象Resource的属组是其所属主账户,那么此时调用权限评估接口,根据IAM用户身上附加的策略集合来判断是否授权通过。

  3. 在评估IAM用户身上的附加策略时采用**默认/隐式拒绝(default /implicit deny)**的原则:

    • 3.1 如果操作请求被“显示拒绝(explicit deny)”,则返回“授权不通过”,否则进入下一步
    • 3.2 如果操作请求被“显示授权(explicit allow)”,则返回“授权通过”,否则进入下一步
    • 3.3 默认/隐式拒绝(default /implicit deny)所有操作请求,返回“授权不通过”

    显式拒绝>"显式授权">"默认/隐式拒绝"

文档内容是否对您有帮助?

根本没帮助
文档较差
文档一般
文档不错
文档很好

在文档使用中是否遇到以下问题

  • 内容不全,不深入
  • 内容更新不及时
  • 描述不清晰,比较混乱
  • 系统或功能太复杂,缺乏足够的引导
  • 内容冗长

更多建议

0/200

评价建议不能为空

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

问题反馈