確定操作者身份。

鑒權主體提供了操作者身份的詳細信息。具體如下：

• 身份類型：操作者的身份類型。包括RAM用戶、RAM角色或SSO聯合身份。

• 身份信息：身份標識。RAM用戶提供的是UID信息，RAM角色提供的是角色名稱和角色會話名稱（例如：RoleName:RoleSessionName），SSO聯合身份提供的是身份提供商類型和身份提供商名稱（例如：saml-provider/AzureAD）。

• 所屬賬號：當前身份所屬的阿里云賬號UID信息。

確定操作缺失的權限點。

鑒權操作提供了導致無權限的具體操作，可用于權限的排查或授予。

確定影響權限的策略類型。

策略類型提供了導致無權限的策略類型，包括管控策略、會話策略、角色信任策略、基于身份策略（賬號級）、基于身份策略（資源組級）。更多信息，請參見權限策略判定流程。

策略類型決定了調整策略的方法，具體如下：

• 如果操作是因為管控策略被拒絕，需要聯系企業的資源目錄管理賬號進行授權。管控策略是資源目錄中對成員訪問定義的權限邊界，優先級高于賬號內的權限判定。

• 如果操作是因為會話策略被拒絕，需要聯系賬號管理員檢查調用AssumeRole接口附加的會話策略。

• 如果操作是因為角色信任策略被拒絕，需要聯系賬號管理員檢查被扮演的RAM角色的信任策略。

• 如果操作是因為基于身份策略被拒絕，需要聯系賬號管理員檢查操作者身份上被授予的權限策略。

確定無權限的原因是未被顯式授權或被顯式拒絕。

• 未被顯式授權：錯誤原因會提示當前操作未被授權，權限判定會提示權限不足。這種情況需要賬號管理員為您主動授予執行操作的權限，即在Allow語句中添加鑒權操作。

• 被顯式拒絕：錯誤原因會提示當前操作被顯式拒絕，權限判定會提示顯式拒絕。這種情況需要賬號管理員檢查已授予的權限，Deny語句中是否包含了鑒權操作。

  說明

  如果策略類型是管控策略，鑒權操作如沒有包含在Allow語句中，也會返回顯示拒絕。

確定操作者身份。

• AuthPrincipalType：操作者的身份類型。SubUser代表是RAM用戶，AssumedRoleUser代表是RAM角色，Federated代表是SSO聯合身份。

• AuthPrincipalDisplayName：身份標識。RAM用戶提供的是UID信息，RAM角色提供的是角色名稱和角色會話名稱（例如：RoleName:RoleSessionName），SSO聯合身份提供的是身份提供商類型和身份提供商名稱（例如：saml-provider/AzureAD）。

• AuthPrincipalOwnerId：當前身份所屬的阿里云賬號UID信息。

確定操作缺失的權限點。

AuthAction提供了導致無權限的具體操作，可用于權限的排查或授予。

確定影響權限的策略類型。

PolicyType提供了導致無權限的策略類型，包括管控策略、會話策略、角色信任策略、基于身份策略（賬號級）、基于身份策略（資源組級）。更多信息，請參見權限策略判定流程。

策略類型決定了調整策略的方法，具體如下：

• 如果操作是因為管控策略被拒絕，需要聯系企業的資源目錄管理賬號進行授權。管控策略是資源目錄中對成員訪問定義的權限邊界，優先級高于賬號內的權限判定。

• 如果操作是因為會話策略被拒絕，需要聯系賬號管理員檢查調用AssumeRole接口附加的會話策略。

• 如果操作是因為角色信任策略被拒絕，需要聯系賬號管理員檢查被扮演的RAM角色的信任策略。

• 如果操作是因為基于身份的策略被拒絕，需要聯系賬號管理員檢查操作者身份上被授予的權限策略。

確定無權限的原因是未被顯式授權或被顯式拒絕。

• 未被顯式授權：NoPermissionType會提示ImplicitDeny。這種情況需要賬號管理員為您主動授予執行操作的權限，即在Allow語句中添加AuthAction。

• 被顯式拒絕：NoPermissionType會提示ExplicitDeny。這種情況需要賬號管理員檢查已授予的權限，Deny語句中是否包含了AuthAction。

  說明

  如果策略類型是管控策略，鑒權操作如沒有包含在Allow語句中，也會返回顯示拒絕。