《权限模型(RBAC/ABAC)》最近研究了一下权限模型，看完AWS IAM之后，深感 AWS IAM 设计精妙。就我个人的看法，RBAC应对一些场景还是不太够，主要是控制粒度不够，例如，我想控制某个role只能操作某个集群的资源，RBAC就无法表达。ABAC可以表达，但是ABAC要复杂很多，AWS IAM是ABAC，但是易用性上做的很不错，还有一种方式，就是魔改RBAC，通过增加一个condition来缩小权限，从而做到精细化控制...