如果系統預置的DDS權(quan)限，不(bu)滿足您的授(shou)權(quan)要求，可以(yi)創(chuang)建(jian)自定(ding)義策略。

目前(qian)天翼云支持以下兩種方式創建自定義策(ce)略：

• 可視化視圖創建自定義策略：無需了解策略語法，按可視化視圖導航欄選擇云服務、操作、資源、條件等策略內容，可自動生成策略。
• JSON視圖創建自定義策略：可以在選擇策略模板后，根據具體需求編輯策略內容；也可以直接在編輯框內編寫JSON格式的策略內容。

本章為您介紹(shao)常(chang)用的DDS自定義策(ce)略樣(yang)例。

DDS自定義策略樣例

• 示例1：授權用戶創建文檔數據庫實例

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                "dds:instance:create" 
            ] 
        } 
    ] 
}

• 示例2：拒絕用戶刪除文檔數據庫實例

拒絕策略需要同時配合其他策略使用，否則沒有實際作用。用戶被授予的策略中，一個授權項的作用如果同時存在Allow和Deny，則遵循 Deny優先原則 。

如果您給用(yong)戶(hu)授(shou)予(yu)DDS FullAccess的系統策(ce)(ce)略(lve)(lve)(lve)，但不(bu)希望用(yong)戶(hu)擁有DDS FullAccess中定義的刪除(chu)文檔數據庫實例(li)權限(xian)，您可以創建一條拒絕(jue)刪除(chu)文檔數據庫實例(li)的自(zi)定義策(ce)(ce)略(lve)(lve)(lve)，然(ran)后(hou)同時(shi)將DDS FullAccess和拒絕(jue)策(ce)(ce)略(lve)(lve)(lve)授(shou)予(yu)用(yong)戶(hu)，根據Deny優(you)先原則(ze)(ze)，則(ze)(ze)用(yong)戶(hu)可以對(dui)DDS執(zhi)行除(chu)了刪除(chu)文檔數據庫實例(li)外(wai)的所有操作。拒絕(jue)策(ce)(ce)略(lve)(lve)(lve)示例(li)如下：

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
          "Effect": "Deny" 
          "Action": [ 
                "dds:instance:deleteInstance" 
            ], 
          } 
    ] 
}

• 示例3：多個授權項策略

一個自定義策(ce)略中可以包(bao)(bao)含(han)多個授權(quan)項，且(qie)除了(le)可以包(bao)(bao)含(han)本服(fu)務(wu)的授權(quan)項外，還可以包(bao)(bao)含(han)其他(ta)服(fu)務(wu)的授權(quan)項，可以包(bao)(bao)含(han)的其他(ta)服(fu)務(wu)必須(xu)跟本服(fu)務(wu)同屬性，即(ji)都是項目級(ji)服(fu)務(wu)或都是全局級(ji)服(fu)務(wu)。多個授權(quan)語句策(ce)略描述(shu)如下(xia)：

{   
        "Version": "1.1",   
        "Statement": [   
                {   
                        "Action": [   
                                "dds:instance:create",   
                                "dds:instance:modify",   
                                "dds:instance:deleteInstance",   
                 "vpc:publicIps:list",   
                 "vpc:publicIps:update"   
                        ],   
                        "Effect": "Allow"   
                }   
        ]   
} 
實例4：授權資源策略 
一個自定義策略可以設置資源策略，表示在當前的action下面，擁有哪些資源的操作權限，目前支持實例名稱的配置，可以用*來表示通配符。授權資源策略的描述如下: 
{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                "dds:instance:list" 
            ] 
        }, 
        { 
            "Effect": "Allow", 
            "Action": [ 
                "dds:instance:modify" 
            ], 
            "Resource": [ 
                "DDS:*:*:instanceName:dds-*" 
            ] 
        } 
    ] 
}