在身份策略中使用notaction时权限不符合预期怎么办-j9九游会登录

问题描述

管理员在iam新版控制台创建deny语句的身份策略时，使用notaction排除a云服务授权项之后，发现b云服务的授权项并没有被deny限制。例如组织中成员账号拥有所有云服务权限时，管理员在创建deny语句身份策略时使用notaction排除vpc服务授权项后，发现eip服务授权项没有被deny限制。对应的身份策略示例如下：

{
	"version": "5.0",
	"statement": [{
		"effect": "deny",
		"notaction": [
			"vpc:*:*"
		]
	}]
}

可能原因

a云服务的某些授权项是b云服务某些授权项的别名。例如，eip服务为兼容旧版控制台权限，会将vpc服务某些授权项作为eip服务某些授权项的别名。在身份策略鉴权时，存在别名关系的授权项代表的含义是相同的，因此vpc授权项也会被当做eip授权项，在配置notaction排除vpc授权项后，实际上eip授权项也被排除了，因此eip授权项最终未被deny限制。

解决方法

针对如上场景，如果用户需要allow a云服务且同时deny b云服务的授权项，那么在使用notaction排除a云服务授权项时，还需要单独添加一条明确的deny语句来拒绝b云服务的授权项。例如用户通常需要允许vpc且拒绝eip的授权项，那么可以在deny时通过notaction来排除vpc授权项，然后再单独添加一条明确的deny语句来拒绝eip授权项。对应的身份策略示例如下：

{
	"version": "5.0",
	"statement": [{
			"effect": "deny",
			"notaction": [
				"vpc:*:*"
			]
		},
		{
			"effect": "deny",
			"action": [
				"eip:*:*"
			]
		}
	]
}