根据documentation的说明
子策略无法限制更高级别授予的访问权限 水平。例如,如果您将编辑者角色授予用户 项目,并将“查看者”角色授予孩子的同一用户 资源,则用户仍具有该子级的“编辑者”角色授予权 资源。
这是否还意味着如果我在较高级别上分配用户限制性访问权限,但在资源级别上分配更多许可权限,那么该用户将拥有更多许可权限?换句话说,无论在哪个级别授予更高的宽松政策,更宽松的政策都会覆盖限制性政策?
为项目授予UserA查看者角色,但在资源级别分配Editor角色,UserA将拥有对资源的编辑级别访问权限吗?
答案 0 :(得分:4)
这是否也意味着如果我为用户分配了更高的限制访问权限 级别,但在资源级别上为该用户分配更多的允许访问 会有更多的权限?
是的
换句话说,宽松的政策将取代限制性政策 无论在哪个级别授予更宽松的政策 在吗?
不要认为它具有压倒性。授予其他特权时,请考虑一下。
授予用户授予项目的查看者角色,但在以下位置分配编辑者角色 资源级别,UserA将具有对资源的编辑者级别的访问权限?
正确,UserA将具有该资源的编辑器级别。
认为层次结构是组织/文件夹/项目/资源。如果您具有较高级别的权限,则至少具有这些较低级别的权限。这类似于公司的组织。如果您是V.P.部门(项目)您仍然是V.P.对于该部门下的每个组(资源)。反之亦然。您是组织的团队成员(项目查看器),但您是一个组的经理(计算资源编辑器),而只是其他资源的项目查看器。
答案 1 :(得分:0)
只是为了补充上面的答案,
如果在策略合并期间,发生策略冲突的情况,则拒绝优先。
例如有以下两个政策
在文件夹级别 ->
允许为用户 x@a.com
在项目 1 级别 ->
拒绝为用户 x@a.com
那么 DENY 策略优先,用户 x@a.com 将无法创建存储桶。