策略

• 默认情况下，所有请求都将被拒绝。(通常，始终允许使用 AWS 账户根用户 凭证创建的访问该账户资源 的请求。)

• 任何权限策略(基于身份或基于资源)中的显式允许将覆盖此默认值。

• 组织 SCP、IAM 权限边界或会话策略的存在将覆盖允许。如果存在其中一个或多个策略类型，它们必须都 允许请求。否则，将隐式拒绝它。

• 任何策略中的显式拒绝将覆盖任何允许。

策略与账户

一般情况下，我们只会管理一个账户(账户不是用户)，可以使用策略定义账户中的权限。而有一些情况会管理多个账户，比如多个公司合并，之前都有用AWS，这种情况下管理用户的权限会有一些烦杂，可以将IAM角色、基于资源策略或访问控制列表结合起来管理跨账户权限。如果拥有多个账户，AWS的建议是使用AWS organizations服务来进行管理。

策略与用户