本文为您介绍了几种不同的权限策略检查规则,掌握权限策略检查规则可以更好的理解权限策略。

权限策略检查规则

在 RAM 中访问阿里云资源分为三种类型:以主账号身份访问、以 RAM 用户身份访问、以 RAM 角色身份访问。

针对上述不同的访问类型,系统的权限检查规则如下表所示。

访问类型 权限检查规则
以主账号身份访问 主账号是资源所有者,默认可以访问该账号下的所有资源。
说明 少数阿里云产品(例如:日志服务)支持跨云账号进行访问控制列表(ACL)授权,如果通过 ACL 授权检查,则允许访问相应资源。
以 RAM 用户身份访问
  • 主账号对 RAM 用户有显式的授权。
  • RAM 用户所属的主账号对资源有访问权限。
说明 RAM 用户访问资源时,默认没有任何权限,以上条件需同时满足 RAM 用户才能访问相应资源。

具体权限检查规则请参考:RAM 用户的权限策略检查规则

以 RAM 角色身份访问
  • RAM 角色令牌有相应的权限策略。

    RAM 角色令牌相关信息,请参考:STS 简介

  • 主账号对 RAM 角色有显式的授权。
  • RAM 角色所属的主账号对资源有访问权限。
说明 RAM 角色访问资源时,默认没有任何权限,以上条件需同时满足 RAM 角色才能访问相应资源。

具体权限检查规则请参考:RAM 角色的权限策略检查规则

RAM 用户的权限策略检查规则

RAM 用户默认没有任何权限,主账号对 RAM 用户进行显示授权后,RAM 用户可以访问相应的资源。

说明 权限策略支持 Allow(允许)和 Deny(禁止)两种授权类型,当同时出现 Allow 和 Deny 授权时,遵循 Deny 优先原则。


  1. 检查 RAM 用户所绑定权限策略是否有授权:
    • 如果有 Deny 授权,判定为:拒绝访问。
    • 否则,需要进行下一步检查。
  2. 检查 RAM 用户所属的主账号是否有访问权限:
    • 如果有 Allow 授权,判定为:允许访问。
    • 否则,需要进行下一步检查。
  3. 检查 RAM 用户所属的主账号是否有跨账号 ACL 授权:
    • 如果有 ACL 授权,判定为:允许访问。
    • 否则,判定为:拒绝访问。

RAM 角色的权限策略检查规则

RAM 角色可以使用角色访问令牌访问阿里云资源,调用 AssumeRole,请求参数Policy可以控制访问阿里云资源的权限。



  1. 检查访问令牌是否有指定权限策略:
    • 如果有指定权限策略,需要查看是否有 Deny 授权:
      • 如果有 Deny 授权,判定为:拒绝访问。
      • 否则,需要检查 RAM 角色所绑定的权限策略。
    • 如果没有指定权限策略,需要检查 RAM 角色所绑定的权限策略。
  2. 检查 RAM 角色所绑定的权限策略是否有授权:
    • 如果有 Deny 授权,判定为:拒绝访问。
    • 否则,需要进行下一步检查。
  3. 检查 RAM 角色所属的主账号是否有访问权限:
    • 如果有 Allow 授权,判定为:允许访问。
    • 否则,需要进行下一步检查。
  4. 检查 RAM 角色所属的主账号是否有跨账号 ACL 授权:
    • 如果有 ACL 授权,判定为:允许访问。
    • 否则,判定为:拒绝访问。