创建自定义身份策略

如果系统身份策略不满足授权要求，管理员可以创建自定义身份策略，并通过给用户组授予自定义身份策略来进行精细的访问控制，自定义身份策略是对系统身份策略的扩展和补充。

目前IAM支持以下两种方式创建自定义身份策略：

在“策略内容”下配置身份策略。

选择“允许”或“拒绝”。
选择“云服务”。

此处只能选择一个云服务，如需配置多个云服务的自定义身份策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义身份策略。
选择“操作”，根据需求勾选产品权限。

（可选）选择资源类型，如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。

表1 资源类型
类型	说明
特定资源	授予IAM用户特定资源的相应权限。如授予IAM用户以TestBucket命名开头的桶相应权限，需将bucket设置为通过资源路径指定，添加资源路径：OBS:::bucket:TestBucket。说明：指定桶资源：【格式】OBS:::bucket:桶名称* 对于桶资源，IAM自动生成资源路径前缀“*obs:::bucket:”。通过桶名称指定具体的资源路径，支持通配符。例如：obs:::bucket:表示任意OBS桶。指定对象资源：【格式】OBS:::object:桶名称/对象名称* 对于对象资源，IAM自动生成资源路径前缀*“obs:::object:”。通过桶名称/对象名称指定具体的资源路径，支持通配符。例如：obs:::object:my-bucket/my-object/*表示my-bucket桶下my-object目录下的任意对象。
所有资源	授予IAM用户所有资源的相应权限。

（可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。参数说明和示例详情请参见：身份策略参数。

表2 条件参数
参数名称	参数说明
条件键	条件键表示身份策略语句的 Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作；服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的API参考中的“身份策略授权参考”章节。
运算符	与条件键、条件值一起使用，构成完整的条件判断语句。
限定词	与条件键、运算符一起使用，当运算符需要某个限定词时，需要输入限定词的值，构成完整的条件判断语句。

（可选）在“身份策略配置方式”选择JSON视图，将可视化视图配置的身份策略内容转换为JSON语句，您可以在JSON视图中对身份策略内容进行修改。

如果您修改后的JSON语句有语法错误，将无法创建身份策略，需自行检查修改内容后再提交。
（可选）如需创建多条自定义身份策略，请单击“添加权限”；也可在已创建的身份策略最右端单击“+”，复制此权限。
输入“策略描述”（可选）。
单击“确定”，自定义身份策略创建完成。
将新创建的自定义身份策略授予主体，或可以将身份策略附加至授权主体，使得主体具备自定义身份策略中的权限。

由于系统、缓存等原因，授予身份策略后大概需要等待几分钟才能生效。

登录统一身份认证服务新版控制台。
在统一身份认证服务，左侧导航窗格中，选择“身份策略”页签，单击右上方的“创建自定义身份策略”。

图3 创建自定义身份策略
输入“策略名称”。

图4 输入身份策略名称
“策略配置方式”选择“JSON视图”。
（可选）在“策略内容”区域，单击“从已有身份策略复制”，例如选择“CBRReadOnlyPolicy”作为模板。
单击“确定”。
修改模板中身份策略授权语句。
- 作用（Effect）：允许（Allow）和拒绝（Deny）。
- 权限集（Action）：写入各服务API授权项列表中“授权项”中的内容，来实现细粒度授权。
  - 自定义身份策略版本号（Version）固定为5.0，不可修改。
  - 各服务支持的API授权列表，详情请参见：身份策略授权参考。
（可选）输入“策略描述”。
单击“确定”后，系统会自动校验语法，如跳转到身份策略列表，则自定义身份策略创建成功；如提示“身份策略内容错误”，请按照语法规范进行修改。
将新创建的自定义身份策略授予主体，或可以将身份策略附加至授权主体，使得主体具备自定义身份策略中的权限。

由于系统、缓存等原因，授予身份策略后大概需要等待几分钟才能生效。