如何排查无权限的访问错误？

确定操作者身份。

鉴权主体提供了操作者身份的详细信息。具体如下：

• 身份类型：操作者的身份类型。包括RAM用户、RAM角色或SSO联合身份。

• 身份信息：身份标识。RAM用户提供的是UID信息，RAM角色提供的是角色名称和角色会话名称（例如：RoleName:RoleSessionName），SSO联合身份提供的是身份提供商类型和身份提供商名称（例如：saml-provider/AzureAD）。

• 所属账号：当前身份所属的阿里云账号UID信息。

确定操作缺失的权限点。

鉴权操作提供了导致无权限的具体操作，可用于权限的排查或授予。

确定影响权限的策略类型。

策略类型提供了导致无权限的策略类型，包括管控策略、会话策略、角色信任策略、基于身份策略（账号级）、基于身份策略（资源组级）。更多信息，请参见权限策略判定流程。

策略类型决定了调整策略的方法，具体如下：

• 如果操作是因为管控策略被拒绝，需要联系企业的资源目录管理账号进行授权。管控策略是资源目录中对成员访问定义的权限边界，优先级高于账号内的权限判定。

• 如果操作是因为会话策略被拒绝，需要联系账号管理员检查调用AssumeRole接口附加的会话策略。

• 如果操作是因为角色信任策略被拒绝，需要联系账号管理员检查被扮演的RAM角色的信任策略。

• 如果操作是因为基于身份策略被拒绝，需要联系账号管理员检查操作者身份上被授予的权限策略。

确定无权限的原因是未被显式授权或被显式拒绝。

• 未被显式授权：错误原因会提示当前操作未被授权，权限判定会提示权限不足。这种情况需要账号管理员为您主动授予执行操作的权限，即在Allow语句中添加鉴权操作。

• 被显式拒绝：错误原因会提示当前操作被显式拒绝，权限判定会提示显式拒绝。这种情况需要账号管理员检查已授予的权限，Deny语句中是否包含了鉴权操作。

  说明

  如果策略类型是管控策略，鉴权操作如没有包含在Allow语句中，也会返回显示拒绝。

确定操作者身份。

• AuthPrincipalType：操作者的身份类型。SubUser代表是RAM用户，AssumedRoleUser代表是RAM角色，Federated代表是SSO联合身份。

• AuthPrincipalDisplayName：身份标识。RAM用户提供的是UID信息，RAM角色提供的是角色名称和角色会话名称（例如：RoleName:RoleSessionName），SSO联合身份提供的是身份提供商类型和身份提供商名称（例如：saml-provider/AzureAD）。

• AuthPrincipalOwnerId：当前身份所属的阿里云账号UID信息。

确定操作缺失的权限点。

AuthAction提供了导致无权限的具体操作，可用于权限的排查或授予。

确定影响权限的策略类型。

PolicyType提供了导致无权限的策略类型，包括管控策略、会话策略、角色信任策略、基于身份策略（账号级）、基于身份策略（资源组级）。更多信息，请参见权限策略判定流程。

策略类型决定了调整策略的方法，具体如下：

• 如果操作是因为管控策略被拒绝，需要联系企业的资源目录管理账号进行授权。管控策略是资源目录中对成员访问定义的权限边界，优先级高于账号内的权限判定。

• 如果操作是因为会话策略被拒绝，需要联系账号管理员检查调用AssumeRole接口附加的会话策略。

• 如果操作是因为角色信任策略被拒绝，需要联系账号管理员检查被扮演的RAM角色的信任策略。

• 如果操作是因为基于身份的策略被拒绝，需要联系账号管理员检查操作者身份上被授予的权限策略。

确定无权限的原因是未被显式授权或被显式拒绝。

• 未被显式授权：NoPermissionType会提示ImplicitDeny。这种情况需要账号管理员为您主动授予执行操作的权限，即在Allow语句中添加AuthAction。

• 被显式拒绝：NoPermissionType会提示ExplicitDeny。这种情况需要账号管理员检查已授予的权限，Deny语句中是否包含了AuthAction。

  说明

  如果策略类型是管控策略，鉴权操作如没有包含在Allow语句中，也会返回显示拒绝。