策略概述

策略是对权限的一种描述，IAM用户、用户组或角色均需通过关联策略来赋予权限。策略中可定义操作范围、资源范围和权限生效条件，具体可参考“策略语法结构”。IAM支持两种类型的策略：系统预设策略和自定义策略。

• 系统预设策略：是由火山引擎创建和管理的一些常见的权限集合，粒度较粗。系统预设策略只能用于授权，用户不可编辑和修改；

• 自定义策略：是由用户创建的更精细化的描述对资源管理的权限集合，当系统预设策略不能满足要求时，您可以创建自定义策略，对权限进行细粒度的定义。

新建自定义策略

在“策略管理”页点击新建策略按钮，在可视化编辑器或JSON编辑器中定义策略内容，具体可参考“新建策略”说明文档。

管理自定义策略

可通过点击策略名或操作列中的管理，进入相应的策略管理页。

点击策略详情中的编辑，可在弹出的“编辑”弹窗中编辑策略的基本信息。

添加策略授权

将策略赋予给用户/用户组/角色，相应身份将拥有该策略的相关权限。

• 在授权tab页中可查看该策略已授权的的身份；

• 点击添加，可为指定身份添加权限，如下图所示：
  

• 点击解除关联可解除策略与该身份的关联关系，该身份将不再具有该策略的相关权限。

编辑自定义策略

点击用户自定义策略列表操作列中的编辑策略，在编辑策略弹窗中可对策略基本信息和策略语法进行编辑。

删除自定义策略

点击用户自定义策略列表操作列中的删除，可对策略进行删除操作。

如何根据无权限错误进行授权？

当IAM身份无权限时，使用云产品控制台或调用API时会返回无权限错误。此时管理员可根据无权限错误信息添加相应产品的系统预设策略，或自定义相应服务的策略。（操作地址：访问控制-火山引擎控制台 (volcengine.com) ）

例如，若出现以下无权限信息时，管理员可为用户添加云服务器（ecs）的管理权限ECSFullAccess，若用户已添加了该策略，您可进一步检查用户的项目权限，并按需添加策略的项目作用范围。