效果(Effect) 是每则策略声明的必需元素,包含着这条权限声明的作用效果是允许(Allow)还是显式拒绝(Deny)。注意:Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效,需要将相应的Deny声明去除或更改为Allow。例如,下面这条策略,最终效果仍然是拒绝:
{ "Statement": [ { "Effect": "Deny", "Action": [ "vpc:TagResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "vpc:TagResources" ], "Resource": [ "*" ] } ] }
当某个身份赋予以下两条策略时,最终效果也仍然是拒绝。
{ "Statement": [ { "Effect": "Deny", "Action": [ "vpc:TagResources" ], "Resource": [ "*" ] } ] }
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:TagResources" ], "Resource": [ "*" ] } ] }