概述

百度智能云IAM服务无缝集成了大量云服务，并为其提供资源的访问控制。当用户访问云服务时，云服务会将访问行为转化为鉴权上下文传递给IAM，IAM会根据用户拥有的权限策略进行权限鉴定，以返回成功或是失败。

IAM的权限策略类型包括企业组织的服务控制策略(SCP)、基于资源的策略和基于身份的策略，详细请参考策略类型。用户是否具备访问某具体云资源的权限，取决于用户拥有的权限策略的综合判定结果，本文将介绍策略鉴权的评估逻辑。

策略评估逻辑

百度智能云的策略评估逻辑遵循如下原则：

• 默认情况下，所有请求被隐式拒绝（仅主账户拥有所有权限）；
• 基于身份或基于资源的策略中的显式允许将覆盖隐式拒绝；
• 组织SCP的隐式拒绝会覆盖允许，即企业组织下的成员账户如果需要有某服务的权限，必须所在组织单元以及自身都被授予该服务权限；
• 任何策略中的显示拒绝会覆盖允许；