如果系統權限策略不能滿足您的要求，您可以創建自定義權限策略實現最小授權。使用自定義權限策略有助于實現權限的精細化管控，是提升資源訪問安全的有效手段。本文介紹ECI使用自定義權限策略的場景和策略示例。

什么是自定義權限策略

在基于IAM的訪問控制體系中，自定義權限策略是指在系統權限策略之外，您可以自主創建、更新和刪除的權限策略。自定義權限策略的版本更新需由您來維護。

• 創建自定義權限策略后，需為IAM用戶或用戶組綁定權限策略，這些IAM身份才能獲得權限策略中指定的訪問權限。

• 已創建的權限策略支持刪除，但刪除前需確保該策略未被引用。如果該權限策略已被引用，您需要在該權限策略的引用記錄中移除授權。

• 自定義權限策略支持版本控制，您可以按照IAM規定的版本管理機制來管理您創建的自定義權限策略版本。

操作文檔參考

• 創建自定義策略

• 編輯策略

• 刪除策略

常見自定義權限策略場景及示例

如果您使用IAM子賬號或委托賬號操作ECI資源（如虛擬節點），需要為其添加以下自定義權限策略。

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "eci:containers:describeContainerGroup",
                "eci:containers:describeContainerGroups",
                "eci:containers:deleteContainerGroup",
                "eci:virtualNode:describeVirtualNodes",
                "eci:virtualNode:createVirtualNode",
                "eci:virtualNode:deleteVirtualNode",
                "eci:virtualNode:updateVirtualNode"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}