本文为您介绍IAM策略的类型及VPN连接相关的策略，以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型，您可直接使用系统预设策略为IAM身份授权，系统预设策略若无法满足您的需求，您可通过自定义策略精准授权，灵活管控账号资源。 ## 系统预设策略 IAM平台已提前为您设置了关于VPN连接的默认策略，您可为直接为IAM身份（IAM用户、用户组或角色）授权系统预设策略。**系统预设策略只能用于授权，不可编辑和修改**。 ### VPN连接系统预设策略 |系统预设策略名称 |描述 | |---|---| |VPNFullAccess |被授权该策略后的IAM身份（IAM用户、用户组、角色）可获得权限范围内全部VPN连接资源的管理权限。 | |VPNReadOnlyAccess |被授权该策略后的IAM身份（IAM用户、用户组、角色）可获得权限范围内全部VPN连接资源的查看权限。如果IAM身份只授予该权限，则只可查看VPN连接资源，不可对VPN连接资源进行任何操作，也不可查看其他未授权的产品。 | ### VPN连接常用操作与系统策略的关系 |操作 |

|\ | |VPNFullAccess

|VPNReadOnlyAccess

|\ | | | | |---|---|---| |创建VPN网关 |

|\ | |√

|×

|\ | | | | |查询VPN网关 |

|\ | |√

|√

|\ | | | | |修改VPN网关 |

|\ | |√

|×

|\ | | | | |删除VPN网关 |

|\ | |√

|×

|\ | | | | |创建用户网关 |

|\ | |√

|×

|\ | | | | |查询用户网关 |

|\ | |√

|√

|\ | | | | |修改用户网关 |

|\ | |√

|×

|\ | | | | |删除用户网关 |

|\ | |√

|×

|\ | | | | |创建IPsec连接 |

|\ | |√

|×

|\ | | | | |查询IPsec连接 |

|\ | |√

|√

|\ | | | | |修改IPsec连接 |

|\ | |√

|×

|\ | | | | |删除IPsec连接 |

|\ | |√

|×

|\ | | | | |创建SSL服务端 |

|\ | |√

|×

|\ | | | | |查询SSL服务端 |

|\ | |√

|√

|\ | | | | |修改SSL服务端 |

|\ | |√

|×

|\ | | | | |删除SSL服务端 |

|\ | |√

|×

|\ | | | | |创建SSL客户端证书 |

|\ | |√

|×

|\ | | | | |查询SSL客户端证书 |

|\ | |√

|√

|\ | | | | |删除SSL客户端证书 |

|\ | |√

|×

|\ | | | | ### VPN连接功能依赖的角色或策略 |功能 |依赖云服务 |所需角色/策略 | |---|---|---| |查看IPsec连接日志功能 |日志服务 |为IAM用户授予VPNFullAccess或VPNReadOnlyAccess权限后，需要增加TLSReadOnlyAccess权限后才能查看IPsec连接日志详情。 | |查看VPN连接监控详情 |云监控 |为IAM用户授予VPNFullAccess或VPNReadOnlyAccess权限后，需要增加CloudMonitorReadOnlyAccess后才能查看VPN网关、IPsec连接监控信息。 | |IPsec连接绑定中转路由器 |中转路由器 |当IPsec连接需要绑定中转路由器，为IAM用户授予VPNFullAccess权限后，需要授权中转路由器实例的读权限和VPN类型网络实例连接的读写权限。|\ | | ||\ | | |* 方案一：为IAM用户授予中转路由器预设系统策略TransitRouterFullAccess权限（该权限为中转路由器全部资源的全读写操作）。|\ | | |* 方案二：为IAM用户授予自定义策略，仅允许IAM用户创建IPsec连接时绑定已有的中转路由器，不可对中转路由器做任何操作。具体自定义策略内容，可参考[自定义策略示例 - 示例六](https://www.volcengine.com/docs/6455/1213516#.56S65L6L5YWt77ya5YWB6K64SVBzZWPov57mjqXnu5Hlrprlt7LmnInkuK3ovazot6_nlLHlmajotYTmupDvvIzkvYbkuI3lj6_mk43kvZzkuK3ovazot6_nlLHlmajotYTmupA=) 。 | ### VPN连接产品系统预设策略详情 #### VPNFullAccess 策略详情 :::tip 被授予此权限后，可获取权限范围内全部VPN连接资源的管理权限和私有网络（VPC）、子网的查看权限。 ::: ```json { "Statement": [ { "Effect": "Allow", "Action": [ "vpc:DescribeVpc*", "vpc:DescribeSubnet*", "vpn:*" ], "Resource": [ "*" ] } ] } ``` #### VPNReadOnlyAccess 策略详情 :::tip 被授予此权限后，可获取权限范围内全部VPN连接资源的查看权限和私有网络（VPC）、子网的查看权限。 ::: ```json { "Statement": [ { "Effect": "Allow", "Action": [ "vpc:DescribeVpc*", "vpc:DescribeSubnet*", "vpn:*Describe*" ], "Resource": [ "*" ] } ] } ``` ## 自定义策略 |类型 |说明 |相关文档 | |---|---|---| |自定义策略类型 |自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity\-based policies)和基于资源的策略（Resource\-based policies）。 |* [基于身份的策略](https://www.volcengine.com/docs/6257/65059#%E5%9F%BA%E4%BA%8E%E8%BA%AB%E4%BB%BD%E7%9A%84%E7%AD%96%E7%95%A5)|\ | | |* [基于资源的策略](https://www.volcengine.com/docs/6257/65059#%E5%9F%BA%E4%BA%8E%E8%B5%84%E6%BA%90%E7%9A%84%E7%AD%96%E7%95%A5) | |自定义策略语法 |自定义策略语法通过策略元素定义策略的权限，自定义**基于身份的策略**和**基于资源的策略**时，策略元素有所区别。 |* [通用自定义策略语法示例](https://www.volcengine.com/docs/6257/1253728)|\ | | |* [VPN连接自定义策略语法示例](https://www.volcengine.com/docs/6455/1213516) | |新建自定义策略 |主账号或拥有访问控制管理权限的子用户进行授权时，系统预设策略无法满足需求，可通过自定义策略精细化定义权限。 |[新建自定义策略](https://www.volcengine.com/docs/6257/1158323) | ## 相关文档 [常见系统预设策略](https://www.volcengine.com/docs/6257/1253730)：文档中介绍了部分常用的系统预设策略，以帮助您更快速的了解、使用系统策略进行权限管控。