权限评估逻辑

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
所有文档
menu
没有找到结果,请重新输入

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
  • 文档中心
  • arrow
  • 相关参考Reference
  • arrow
  • 企业组织
  • arrow
  • 权限评估逻辑
本页目录
  • 企业组织权限策略与多用户访问控制权限策略
  • SCP的权限评估逻辑

权限评估逻辑

更新时间:2025-08-22

服务控制策略(Service Control Policy)用于限定子账户的最大权限边界,一个策略可包含多个服务的权限。你可以把策略附加到组织单元或子账户,最终效果都会作用到子账户,以达到对子账户的最大权限进行限制的目的。

企业组织权限策略与多用户访问控制权限策略

对比项 企业组织权限策略 多用户访问控制权限策略
定义 又称为服务控制策略(SCP),权限的集合,主要用于限制企业组织下成员账户的权限 云账户下权限的集合,用于控制账户内子用户等对云资源的访问控制权限
作用对象 子账户 子用户、角色、用户组(最终作用到子用户)
权限效果 核心作用是限制子账户的最大权限,创建子账户或组织单元后系统会默认赋予全部权限,然后你可以通过对某些云产品的拒绝访问,来限制某个子账户的最大权限边界,详细权限效果参考下文描述 子用户或角色默认无任何权限策略,需要主账号手动授予,才能获得所需权限,详细鉴权逻辑参考IAM权限评估逻辑

SCP的权限评估逻辑

单账户下子用户的权限生效逻辑主要为加法原则,即子用户被授予了权限策略A和B,则同时拥有了A和B的相加后的权限。

不同于单账户下的策略,企业组织内的SCP可被授予到组织单元,也可以被直接授予到子账户,策略的生效逻辑会结合2者被授予的策略一起评估,其核心逻辑描述如下:

image.png

  • 授予到组织单元不同策略间的关系是并集(加法),即权限叠加;
  • 组织单元会继承上级组织单元的策略,继承策略和该单元自身被授予的策略关系为交集,即二者都允许的权限生效;
  • 授予到子账户不同策略间的关系是并集(加法),即权限叠加;
  • 子账户会继承所属组织单元的策略,继承策略和子账户自身策略关系为交集,即二者都允许的权限;

案例说明

image.png

某企业组织root节点下有2个组织单元1、组织单元2,且位于2个不同层级,组织单元1下有子账户A,组织单元2下有子账户B,组织和账户直接被授权的SCP如下:

  • 组织单元1:SCP1对应为FullAccessScp(所有资源),SCP2对应BCC管理权限;
  • 账户A:SCP3对应ModelBuilder管理权限,SCP4对应BCC管理权限;
  • 组织单元1:SCP5对应为BOS管理权限,SCP6对应BCC管理权限;
  • 账户B:SCP7对应为FullAccessScp(所有资源),SCP8对应BCC管理权限.

那么在上述的权限评估逻辑下,账户A和账户B最终生效的权限策略为:

  • 账户A:继承来自root组织的FullAccesSCP,继承来自组织单元1的(SCP1+SCP2)权限并集,再与自身被授予的(SCP3+SCP4)权限取交集,最终生效的权限为BCC管理SCP+ModelBuiler管理。
  • 账户B:继承来自root组织的FullAccesSCP,继承来自组织单元1的(SCP1+SCP2)权限并集,继承来自组织单元2的(SCP5+SCP6)权限并集,再与自身被授予的(SCP7+SCP8)权限取交集,最终生效的权限为BOS管理SCP+BCC管理SCP。

验证权限评估逻辑的准确性

为了验证通过上述逻辑计算得到最终权限正确,你还可以通过如下方法:将最终的权限策略结果,从账户开始,往上追溯到最顶层进行模拟鉴权操作,如果每个层级的鉴权都通过,则证明该逻辑正确。

举账户B的例子,要知道BOS管理SCP是否最终生效,鉴权流程如下:

  • 在账户B鉴权:账户B拥有FullAccessScp,鉴权通过;
  • 在组织单元2鉴权:组织单元2拥有BOS管理SCP,鉴权通过;
  • 在组织单元1鉴权:组织单元1拥有FullAccessScp,鉴权通过;
  • 在root组织鉴权:root拥有FullAccessScp,鉴权通过;

上述所有节点的鉴权结果皆为通过,因此BOS管理SCP权限为账户B拥有的权限。同理可以验证BCC管理SCP,在此不再赘述。

上一篇
企业组织vs多用户访问控制
下一篇
创建企业组织