策略鉴权评估逻辑
所有文档

          多用户访问控制

          策略鉴权评估逻辑

          概述

          百度智能云IAM服务无缝集成了大量云服务,并为其提供资源的访问控制。当用户访问云服务时,云服务会将访问行为转化为鉴权上下文传递给IAM,IAM会根据用户拥有的权限策略进行权限鉴定,以返回成功或是失败。

          IAM的权限策略类型包括企业组织的服务控制策略(SCP)、基于资源的策略和基于身份的策略,详细请参考策略类型。用户是否具备访问某具体云资源的权限,取决于用户拥有的权限策略的综合判定结果,本文将介绍策略鉴权的评估逻辑。

          策略评估逻辑

          百度智能云的策略评估逻辑遵循如下原则:

          • 默认情况下,所有请求被隐式拒绝(仅主账户拥有所有权限);
          • 基于身份或基于资源的策略中的显式允许将覆盖隐式拒绝;
          • 组织SCP的隐式拒绝会覆盖允许,即企业组织下的成员账户如果需要有某服务的权限,必须所在组织单元以及自身都被授予该服务权限;
          • 任何策略中的显示拒绝会覆盖允许

          image.png

          上一篇
          授权
          下一篇
          基于标签授权与鉴权