多用户访问控制

    策略鉴权评估逻辑

    概述

    百度智能云IAM服务无缝集成了大量云服务,并为其提供资源的访问控制。当用户访问云服务时,云服务会将访问行为转化为鉴权上下文传递给IAM,IAM会根据用户拥有的权限策略进行权限鉴定,以返回成功或是失败。

    IAM的权限策略类型包括企业组织的服务控制策略(SCP)、基于资源的策略和基于身份的策略,详细请参考策略类型。用户是否具备访问某具体云资源的权限,取决于用户拥有的权限策略的综合判定结果,本文将介绍策略鉴权的评估逻辑。

    策略评估逻辑

    百度智能云的策略评估逻辑遵循如下原则:

    • 默认情况下,所有请求被隐式拒绝(仅主账户拥有所有权限);
    • 基于身份或基于资源的策略中的显式允许将覆盖隐式拒绝;
    • 组织SCP的隐式拒绝会覆盖允许,即企业组织下的成员账户如果需要有某服务的权限,必须所在组织单元以及自身都被授予该服务权限;
    • 任何策略中的显示拒绝会覆盖允许

    image.png

    上一篇
    授权
    下一篇
    基于标签授权与鉴权