同时设置了IAM和企业项目管理授权时的检查规则
用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下:
- 用户发起访问请求。
- 系统在用户被授予的访问权限中,优先寻找基于IAM项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果在基于IAM项目的权限中没有找到请求对应的action,系统将继续寻找基于企业项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果用户不具备任何权限,系统将返回鉴权决定Deny,鉴权结束。
无法找到特定服务的权限怎么办?
如已正确筛选云服务仍无法找到,则该需要设置权限的服务暂不支持企业项目管理服务EPS。
资源迁入/迁出企业项目会影响资源所在的VPC和网段吗?
不会。
企业项目发生变化可能会影响其关联的用户的权限,但其下的资源所关联的VPC和网段不会变化。
资源从一个企业项目迁移到另一个企业项目,不会影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。
但是,如果您有基于企业项目范围的授权策略,则资源所属企业项目发生变更,可能会导致用户对资源访问权限的变更。例如:您给项目A的成员授予企业项目A范围的操作权限,此时成员可以访问企业项目A内的资源。 当资源从企业项目A迁移到企业项目B时,由于成员只有企业项目A的权限,则此时成员将不再具有此资源的操作权限。