金山云-文档中心-自定义策略创建常见问题

访问控制

查看更多结果

未找到含当前关键字的文档标题

页面目录

全部展开全部收起

产品更新动态

未找到含该关键词的产品

文档中心

访问控制

常见问题（FAQ）

自定义策略创建常见问题

最近更新时间：2025-12-22 16:57:36



Q1: Effect 为 Deny 的策略优先级是否更高？

A: 是的。Deny 总是优先于 Allow。如果一个请求同时匹配 Allow 和 Deny 策略，最终结果是拒绝。

Q2: Condition 中多个条件是 AND 还是 OR 关系？

多个条件运算符之间是 AND 关系

同一条件键的多个值之间是 OR 关系

Q3: Resource 中的通配符可以在中间使用吗？

A: 不可以。通配符 * 只能出现在资源名称的末尾。

// ✅ 正确
"krn:ksc:iam:::user/test-*"

// ❌ 错误
"krn:ksc:iam:::user/*-test"
"krn:ksc:iam:::user/test-*-user"

Q4: StringLike 中的通配符 * 和 ? 有什么区别？

* - 匹配零个或多个字符
? - 精确匹配一个字符

"StringLike": {
    "ksc:Tag": [
        "app-*",        // 匹配 app-、app-api、app-web-service
        "env&prod?",    // 匹配 env&prod1、env&prodA，不匹配 env&prod 或 env&prod12
        "team&*-dev"    // 匹配 team&frontend-dev、team&backend-dev
    ]
}

Q5: Tag 格式中可以有多个 & 吗？

A: 不可以。Tag 格式只支持 key&value 或单独的 key，不支持多个 & 分隔符。

// ✅ 正确
"env&production"
"team&backend"
"protected"

// ❌ 错误
"env&prod&cn"
"team&backend&dev"

Q6: 如何实现"除了某些 IP 之外都允许"？

A: 使用 NotIpAddress 条件运算符。

"Condition": {
    "NotIpAddress": {
        "ksc:SourceIp": [
            "blocked-ip-1",
            "blocked-ip-range/24"
        ]
    }
}

文档导读

上一篇：角色和临时身份凭证常见问题

下一篇：最佳实践

纯净模式常规模式

纯净模式

点击可全屏预览文档内容