最近更新时间:2024.04.07 16:50:25
首次发布时间:2024.01.09 22:05:23
场景: 当授予了身份AdministratorAccess(包含全部支持IAM的产品与服务的管理权限)或ReadOnlyAccess(包含全部支持IAM的产品与服务的只读权限)等范围较大的全局策略时,若需排除部分服务的权限,可创建并绑定效果为“拒绝”的策略。例如以下策略拒绝了对费用中心全部模块的访问。
策略示例:
{ "Statement": [ { "Effect": "Deny", "Action": [ "bill:*", "bill_volcano_engine:*", "billing:*", "volc_contract_process:*" ], "Resource": [ "*" ] } ] }
解读: 这条策略使用"Deny"来拒绝访问,范围为费用中心的全部服务。