统一身份认证服务 IAM-自定义策略使用样例:配合较高权限系统策略使用
配合较高权限系统策略使用
如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云审计服务,可以对其他所有服务执行所有操作。
以下策略样例表示:拒绝IAM用户使用云审计服务。
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts:*:*" ] } ]}