验证自定义身份策略

IAM访问分析可以根据策略语法检查验证IAM自定义身份策略、IAM信任策略以及Organizations的服务控制策略，并且提供检查结果。检查结果包括：安全警告、错误、策略建议等，根据检查结果可以帮助用户设置可操作且符合安全要求的身份策略。您可以使用IAM控制台自定义身份策略和信任策略的JSON编辑界面、Organizations控制台的服务控制策略JSON编辑界面、以及API创建或编辑策略，IAM访问分析器会直接提供策略验证检查结果。以下以在IAM控制台验证自定义身份策略为例，展示使用分析器验证策略的过程。

在IAM控制台验证身份策略

登录统一身份认证服务新版控制台。
在统一身份认证服务，左侧导航窗格中，选择“身份策略”页签，单击右上方的“创建自定义身份策略”。

图1 创建自定义身份策略
“策略配置方式”选择“JSON视图”。
（可选）在“策略内容”区域，单击“从已有策略复制”，例如选择“EVSFullAccessPolicy”作为模板。单击“确定”。

此处可以同时选择多个服务的策略，这些策略的作用范围必须一致，即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。
修改模板中策略授权语句。
- 作用（Effect）：允许（Allow）和拒绝（Deny）。
- 权限集（Action）：写入各服务API授权项列表（如图2所示）中“授权项”中的内容。
  图2 授权项示例
  - 自定义策略版本号（Version）固定为5.0，不可修改。
  - 各服务支持的API授权列表，详情请参见：身份策略授权参考。
系统会自动验证身份策略，并且显示在身份策略下方。单击每一个提示的选项，查看检查结果。
- 安全：策略存在安全风险，可能是允许访问的权限过于宽松等导致。
- 错误：存在策略无法运行的错误，如语法错误、参数错误等。存在错误的情况下策略无法创建。
- 警告：存在策略无法运行的警告，如参数取值类型不匹配等。存在警告的情况下策略可以创建。
- 建议：不影响策略运行，但策略可能不能达到预期的效果。如存在空数组、空对象条件等。
如出现以上情况，建议按照检查结果进行修改。解决方案可以参考验证策略结果参考。

图3 查看检查结果
（可选）输入“策略描述”。
单击“确定”，自定义身份策略创建完成。
将新创建的自定义身份策略授予用户组，使得用户组中的用户具备自定义身份策略中的权限。