IAM 政策類型

身分與存取權管理 (IAM) 提供多種政策，可協助您控管主體可存取的資源。本頁面可協助您瞭解這兩種政策類型在使用和管理上的差異。

Trusted Cloud中的 IAM 政策類型

IAM 提供下列類型的政策：

下表摘要列出這些政策類型的差異：

政策	政策功能	用於管理政策的 API	政策與目標之間的關係	將政策附加至目標的方法	政策的父項資源
允許政策	授予主體資源存取權	您要管理允許政策的資源 API	一對一關係每項允許政策都會附加至一項資源，且每項資源只能有一項允許政策	建立政策時指定資源	與附加允許政策的資源相同
拒絕政策	確保主體無法使用特定權限	IAM v2 API	一對多關係每項拒絕政策都會附加至一項資源，每項資源最多可有 500 項拒絕政策	建立拒絕政策時指定資源	與附加拒絕政策的資源相同

政策

政策功能

用於管理政策的 API

政策與目標之間的關係

將政策附加至目標的方法

政策的父項資源

允許政策

授予主體資源存取權

您要管理允許政策的資源 API

一對一關係

每項允許政策都會附加至一項資源，且每項資源只能有一項允許政策

建立政策時指定資源

與附加允許政策的資源相同

拒絕政策

確保主體無法使用特定權限

一對多關係

每項拒絕政策都會附加至一項資源，每項資源最多可有 500 項拒絕政策

建立拒絕政策時指定資源

與附加拒絕政策的資源相同

以下各節詳細說明每種政策類型。

如要授予主體資源存取權，請使用 IAM 允許政策。

您可以透過允許政策，授予 Trusted Cloud中資源的存取權。允許政策由角色繫結和中繼資料組成。角色繫結會指定哪些主體應具備資源的特定角色。

允許政策一律會附加至單一資源。將允許政策附加至資源後，該資源的後代會繼承這項政策。

如要建立及套用允許政策，請找出接受允許政策的資源，然後使用該資源的 setIamPolicy 方法建立允許政策。允許政策中的所有主體，都會取得資源和所有後代資源的指定角色。每個資源只能附加一項允許政策。

如要進一步瞭解允許政策，請參閱「瞭解允許政策」。

如要拒絕主體存取資源，請使用 IAM 拒絕政策。身分與存取權管理拒絕政策適用於 IAM v2 API。

拒絕政策與允許政策一樣，一律附加至單一資源。您可以將拒絕政策附加至專案、資料夾或機構。這個專案、資料夾或機構也會在資源階層中做為政策的父項。將拒絕政策附加至資源後，該資源的子系會沿用這項政策。

如要建立及套用拒絕政策，請使用 IAM v2 API。建立拒絕政策時，請指定要附加拒絕政策的資源。拒絕政策中的所有主體都無法使用指定權限，存取該資源和該資源的任何子系。每項資源最多可附加 500 項拒絕政策。

如要進一步瞭解拒絕政策，請參閱「拒絕政策」。

主體嘗試存取資源時，IAM 會評估所有相關的允許和拒絕政策，判斷主體是否可存取資源。如果其中任何一項政策指出主體不應能夠存取資源，IAM 就會禁止存取。

實際上，IAM 會同時評估所有政策類型，然後彙整結果，判斷主體是否可以存取資源。不過，您可以將這項政策評估視為在下列階段進行：

IAM 會檢查所有相關的拒絕政策，確認主體是否遭到拒絕授權。相關拒絕政策是指附加至資源的拒絕政策，以及任何沿用的拒絕政策。
- 如果任何拒絕政策禁止主體使用必要權限，IAM 就會禁止主體存取資源。
- 如果沒有任何拒絕政策禁止主體使用必要權限，IAM 會繼續執行下一個步驟。
IAM 會檢查所有相關的允許政策，確認主體是否具備必要權限。相關的允許政策是指附加至資源的允許政策，以及沿用的允許政策。
- 如果主體不具備必要權限，IAM 會禁止他們存取資源。
- 如果主體具備必要權限，IAM 就會允許存取資源。

下圖顯示這項政策評估流程：

IAM 政策評估流程