概述

访问控制（ Identity and Access Management ，IAM） 是金山云提供的管理用户身份与资源访问权限的基础服务。

子用户是IAM的一种实体身份类型，有确定的身份ID和身份凭证。新创建的子用户默认是无任何操作权限的，只有被赋予特定的操作权限才能使用控制台功能或访问特定的云资源。

假设某企业A，仅允许员工小王拥有管理和查看金山云消息管理的能力，不允许小王进行其他操作。那么仅给员工小王赋予了ContactFullAccess（提供消息接收人管理和站内信管理的全部功能）。
当小王被要求查看其他部分功能（如项目管理）时，则会报错“缺少相应的策略或权限”。

本文重点说明，对此种“缺少相应的策略或权限”，作为IAM子用户或通过角色扮演登录的账号如何确认及处理。

前提说明

权限判定分为：权限不足和权限禁止，详情请查看：权限策略判定流程

当您的企业存在多用户协同访问资源的场景时，使用IAM可以按需为子用户分配最小权限，避免多用户共享主账号的登录账号密码或访问密钥，从而降低企业的安全风险。

当用户在使用访问控制模块时，如进行操作的子用户或通过角色扮演登录的账号出现权限不足或权限禁止的情况，诊断功能将会把报错相关信息汇总，如下图所示：

判定结果：分为两类，权限不足和权限禁止。
权限不足：权限判定会提示权限不足。这种情况需要账号管理员为您主动授予执行操作的权限，即在Allow语句中添加鉴权操作。
权限禁止：权限判定会提示权限禁止。这种情况需要账号管理员检查已授予的权限，Deny语句中是否包含了鉴权操作。
请求ID：判定请求的request_ID。如推荐的策略无法满足需求时，您可以通过请求ID 发起工单或联系客服处理。
鉴权主体：操作者的详细信息，包括操作者的身份类型（子用户、角色、身份提供商）。当前身份归属的金山云UID账号。
判定详情：本次无权限的具体操作的具体Action。