本文为您介绍IAM策略的类型及NAT网关相关的策略，以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型，您可直接使用系统预设策略为IAM身份授权，但系统预设策略有限若无法满足您的需求，您可通过自定义策略精准授权，灵活管控账号资源。 ## 系统预设策略 IAM平台已提前为您设置了关于NAT网关的默认策略，您可为直接为IAM身份（IAM用户、用户组或角色）授权系统预设策略。**系统预设策略只能用于授权，不可编辑和修改**。 ### NAT网关系统预设策略 |系统预设策略名称 |描述 | |---|---| |NATFullAccess |被授权该策略后的IAM身份（IAM用户、用户组、角色），可获得权限范围内NAT网关功能的 **管理** 权限。 | |NATReadOnlyAccess |被授权该策略后的IAM身份（IAM用户、用户组、角色），可获得权限范围内NAT网关功能的 **只读** 权限。 | :::tip 通配符\*：匹配0个、1个或多个字符。 ::: ```mixin-react return ( ); ``` ### NAT网关常用操作与系统策略的关系 |操作 |

NATFullAccess

NATReadOnlyAccess

|\ |---|---|---| | | | | |创建NAT网关 |

√

|\ | | | | |查询NAT网关 |

√

|\ | | | | |修改NAT网关 |

√

|\ | | | | |删除NAT网关 |

√

|\ | | | | |创建SNAT规则 |

√

|\ | | | | |查询SNAT规则 |

√

|\ | | | | |修改SNAT规则 |

√

|\ | | | | |删除SNAT规则 |

√

|\ | | | | |创建DNAT规则 |

√

|\ | | | | |查询DNAT规则 |

√

|\ | | | | |修改DNAT规则 |

√

|\ | | | | |删除DNAT规则 |

√

|\ | | | | ### NAT网关功能依赖的角色或策略 |功能 |依赖云服务 |所需角色/策略 | |---|---|---| |查看NAT网关监控信息 |云监控 |为IAM用户授予NATFullAccess或NATReadOnlyAccess权限后，需要增加CloudMonitorReadOnlyAccess后才能查看NAT网关监控信息。 | ## 自定义策略 |类型 |说明 |相关文档 | |---|---|---| |自定义策略类型 |自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity\-based policies)和基于资源的策略（Resource\-based policies）。 |* [基于身份的策略](https://www.volcengine.com/docs/6257/65059#%E5%9F%BA%E4%BA%8E%E8%BA%AB%E4%BB%BD%E7%9A%84%E7%AD%96%E7%95%A5)|\ | | |* [基于资源的策略](https://www.volcengine.com/docs/6257/65059#%E5%9F%BA%E4%BA%8E%E8%B5%84%E6%BA%90%E7%9A%84%E7%AD%96%E7%95%A5) | |自定义策略语法 |自定义策略语法通过策略元素定义策略的权限，自定义“基于身份的策略”和“基于资源的策略”时，策略元素有所区别。 |* [通用自定义策略语法示例](https://www.volcengine.com/docs/6257/1253728)|\ | | |* [NAT网关自定义策略语法示例](https://www.volcengine.com/docs/6404/1222937) | |新建自定义策略 |火山引擎主账号或拥有访问控制管理权限的子用户进行授权时，系统预设策略无法满足需求，可通过自定义策略精细化定义权限。 |[新建自定义策略](https://www.volcengine.com/docs/6257/1158323) | ## 相关文档 [常见系统预设策略](https://www.volcengine.com/docs/6257/1253730)：文档中介绍了部分常用的系统预设策略，以帮助您更快速的了解、使用系统策略进行权限管控。