校验策略是否有新访问权限 - CheckNoNewAccess

功能介绍

校验策略是否有新访问权限。

调试

您可以在API Explorer中调试该接口，支持自动认证鉴权。API Explorer可以自动生成SDK代码示例，并提供SDK代码示例调试功能。

授权信息

账号根用户具备所有API的调用权限，如果使用账号下的IAM用户调用当前API，该IAM用户需具备如下身份策略权限，更多的权限说明请参见权限和授权项。

授权项	访问级别	资源类型（*为必须）	条件键	别名	依赖的授权项
AccessAnalyzer::checkNoNewAccess	Read	-	-	-	-

URI

POST /v5/policies/check-no-new-access

请求参数

表1 请求Body参数
参数	是否必选	参数类型	描述
existing_policy_document	是	String	参数解释：该策略JSON格式策略文档。约束限制：不涉及。取值范围：最小长度为0，最大长度为131072。默认取值：不涉及。
new_policy_document	是	String	参数解释：该策略JSON格式策略文档。约束限制：不涉及。取值范围：最小长度为0，最大长度为131072。默认取值：不涉及。
policy_type	是	String	参数解释：要校验的策略类型。约束限制：不涉及。取值范围： identity_policy：身份策略 agency_trust_policy：委托信任策略 bucket_policy：桶策略默认取值：不涉及。

响应参数

状态码：200

表2 响应Body参数
参数	参数类型	描述
message	String	参数解释：更新后的策略是否允许新访问权限的消息。取值范围：不涉及。
check_result	String	参数解释：检查新访问权限的结果。取值范围： pass: 无新增访问权限 fail: 有新增访问权限
reasons	Array of CheckNoNewAccessReason objects	参数解释：新增action的statement描述。取值范围：不涉及。

表3 CheckNoNewAccessReason
参数	参数类型	描述
description	String	参数解释：对访问权限检查结果的推理的描述。取值范围：不涉及。
statement_id	String	参数解释：新增权限statement的sid标识符。取值范围：不涉及。
statement_index	Integer	参数解释：新增权限statement的index，从0开始。取值范围：最小值为0。

请求示例

校验策略是否有新访问权限。

POST https://{hostname}/v5/policies/check-no-new-access

{
  "existing_policy_document" : "{\\\"Version\\\":\\\"5.0\\\",\\\"Statement\\\":[{\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\":[\\\"iam:users:createUserV5\\\"]}]}",
  "new_policy_document" : "{\\\"Version\\\":\\\"5.0\\\",\\\"Statement\\\":[{\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\":[\\\"iam:users:createUserV5\\\",\\\"obs:bucket:createBucket\\\"]}]}",
  "policy_type" : "identity_policy"
}

响应示例

状态码：200

{
  "check_result" : "fail",
  "message" : "The modified permissions grant new access compared to your existing policy.",
  "reasons" : [ {
    "description" : "New access in the statement with sid: {statement_sid}.",
    "statement_index" : 0,
    "statement_id" : "{statement_sid}"
  } ]
}