单身份策略授权项关联多个策略授权项的影响
CDN的身份策略授权项合并了部分功能类似的策略授权项,所以身份策略授权项可能对应多个策略授权项,即表1中的授权项对应多个别名,如果同时配置身份策略授权项和策略授权项,此时可能带来权限扩大或者减小的问题,影响鉴权结果。
详见下表:
授权项 | 接口 | 策略授权结果 | 身份策略授权结果 | 说明 |
|---|---|---|---|---|
策略授权项:allow: cdn:statistics:queryTopUrl | /cdn/statistics/top-url | 通过 | 通过 | 权限扩大,由于cdn:statistics:queryTopUrl是cdn:statistics:queryStats别名,所以用户可以调用所有cdn:statistics:queryStats对应的接口。 |
/cdn/statistics/flux-detail | 拒绝 | 通过 | ||
策略授权项:deny: cdn:statistics:queryTopUrl 策略授权项:allow: cdn:statistics:queryDomainSummaryDetail 身份策略授权项:allow: cdn:statistics:queryStats | /cdn/statistics/top-url | 拒绝 | 拒绝 | 权限减小,由于cdn:statistics:queryStats的某个别名设置了deny,会导致身份策略授权鉴权中所有关联了cdn:statistics:queryStats的接口鉴权都失败。 |
/cdn/statistics/flux-detail | 通过 | 拒绝 | ||
策略授权项:deny: cdn:statistics:queryTopUrl 身份策略授权项:allow: cdn:statistics:queryStats | /cdn/statistics/top-url | 通过 | 拒绝 | 权限减小,由于策略授权cdn:statistics:queryTopUrl为deny,身份策略授权中使用cdn:statistics:queryStats的所有接口鉴权都失败。 |
