714
windows
权限检查规则__附录1: 授权策略语言_用户指南_访问控制-阿里云
基本模型
- 当主账号身份访问资源时,如果主账号是资源Owner,则允许访问;否则不允许访问。该规则的例外情况说明:存在极少数云产品(如SLS)直接支持对跨云账号ACL授权,如果通过ACL授权检查,则允许访问。
- 当RAM用户身份访问资源时,如果RAM用户所属的主账号对资源有访问权限,并且主账号对RAM用户有显式的Allow授权策略,则允许访问;否则不允许访问。
- 当RAM角色身份访问资源时,如果RAM角色所属的主账号对资源有访问权限,并且主账号对RAM角色有显式的Allow授权策略,并且角色访问令牌(STS-Token)有显式的授权,则允许访问;否则不允许访问。
RAM用户身份的授权策略检查逻辑
RAM用户访问资源时,默认没有任何权限,除非有进行显式的授权(给RAM用户绑定授权策略)。授权策略语句支持Allow(允许)和Deny(禁止)两种授权类型,当多个授权语句对一个资源操作分别出现Allow和Deny授权时,我们使用Deny优先的原则。
授权策略检查逻辑如下图所示:
RAM用户访问资源时,权限检查逻辑如下:
按照RAM用户身份所绑定的授权策略是否有授权,如果是Deny,则拒绝访问;否则进入下一步检查。
检查RAM角色所属的主账号是否有访问权限。如果是资源Owner,则允许访问;否则查看该资源是否有支持跨账号ACL许可,有则允许访问,否则拒绝访问。
RAM角色身份的授权策略检查逻辑
RAM角色(使用角色访问令牌)访问资源时,权限检查逻辑如下:
如果当前访问令牌有指定授权策略(调用AssumeRole时所传入的授权策略参数),则按照上述授权策略检查逻辑进行判断,如果是Deny,则拒绝访问;否则进入下一步检查。 如果当前访问令牌没有指定授权策,则直接进入下一步检查。
检查RAM角色身份所绑定的授权策略是否有授权。如果是Deny,则拒绝访问;否则进入下一步检查。
检查RAM角色所属的主账号是否有访问权限。如果是资源Owner,则允许访问;否则查看该资源是否有支持跨账号ACL许可,有则允许访问,否则拒绝访问。
最后更新:2016-11-23 16:04:01
上一篇: Policy语法结构__附录1: 授权策略语言_用户指南_访问控制-阿里云
下一篇: Google Authenticator安装及使用指导__附录2: _用户指南_访问控制-阿里云
- 目标模式__场景制定_使用手册_性能测试-阿里云
- 添加自定义算法和流程模板__用户指南_推荐引擎-阿里云
- ComparatorType__DataType_API 参考_表格存储-阿里云
- 不同域名注册商修改 DNS 方法__DNS修改_产品使用问题_云解析-阿里云
- CNAME自动调度___产品功能说明_产品常见问题_DDoS 高防IP-阿里云
- 设备认证相关问题__产品常见问题_阿里云物联网套件-阿里云
- 查询实例资源规格列表__其他接口_API 参考_云服务器 ECS-阿里云
- [4]授权策略示例__子账号访问MNS_控制台使用帮助_消息服务-阿里云
- 绑定云虚拟主机域名__管理控制台_使用指南_云虚机主机-阿里云
- 申请流程__快速入门_云数据库 PetaData-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云