tencent cloud

腾讯云用户访问云资源时， CAM 通过以下评估逻辑决定允许或拒绝。

1. 默认情况下，所有请求都将被拒绝。

2. CAM 会检查当前用户关联的所有策略。

   1. 判断是否匹配策略，是则进行下一步判断；否则最终判断为 deny ，不允许访问云资源。
   2. 判断是否有匹配 deny 策略，是则最终判定为 deny ，不允许访问云资源；否则进行下一步判断。
   3. 判断是否有匹配 allow 策略，是则最终判断为 allow ，允许访问云资源；否则最终判定为 deny，不允许访问云资源。

注意：

• 对于主账号，默认拥有其名下所有资源的访问权限；且目前仅 COS/CAS 产品支持跨账号的资源访问。
• 有些通用策略，会默认关联所有 CAM 用户。具体请见下文的 通用策略表。
• 其他策略都必须显式指定，包括 allow 和 deny 策略。
• 对于支持跨帐号资源访问的业务，存在权限传递的场景，即主账号 A 授权主账号 B 下的某个子账号对其资源的访问权限。这个时候 CAM 会同时校验 A 是否授权给 B 该权限以及 B 是否授权给子帐号该权限，两者同时满足的前提下， B 的子账号才有权访问 A 的资源。

目前支持的通用策略表如下：