根据文件说
子策略不能限制在更高级别授予的访问权限。例如,如果您将 Editor 角色授予项目的用户,并将 Viewer 角色授予同一用户的子资源,则该用户仍然拥有子资源的 Editor 角色授权。
这是否也意味着如果我在更高级别分配用户限制性访问但在资源级别分配更多许可访问,该用户将拥有更多许可访问?换句话说,无论在哪个级别授予更宽松的政策,更宽松的政策都将优先于限制性政策?
为项目授予 UserA 查看者角色,但在资源级别分配 Editor 角色,UserA 将拥有对该资源的编辑级别访问权限?
这是否也意味着如果我在更高级别分配用户限制性访问但在资源级别分配更多许可访问,该用户将拥有更多许可访问?
是的。
换句话说,无论在哪个级别授予更宽松的政策,更宽松的政策都将优先于限制性政策?
不要认为它有压倒一切。当您授予额外权限时,请考虑一下。
为项目授予 UserA 查看者角色,但在资源级别分配 Editor 角色,UserA 将拥有对该资源的编辑级别访问权限?
正确,UserA 将具有资源的编辑级别。
认为层次结构是组织/文件夹/项目/资源。如果您具有较高级别的权限,那么您至少具有较低级别的权限。这类似于公司的组织。如果您是部门(项目)的副总裁,那么您仍然是该部门下每个组(资源)的副总裁。反之亦然。您是组织的团队成员(项目查看者),但您是一个组(计算资源编辑器)的经理,而只是其他资源的项目查看者。
只是添加到上面的答案,
如果在策略的联合过程中发生策略冲突的情况,则 DENY 优先。
例如有以下两个策略
在文件夹级别 -> 允许为用户创建存储桶x@a.com
在 Project1 级别 -> 拒绝为用户创建存储桶x@a.com
然后DENY策略优先,用户x@a.com将无法创建存储桶。