网宿科技使用权限来描述身份 (如用户、用户组、角色) 对具体资源的访问能力。权限指在某种条件下允许或拒绝对某些资源执行某些操作，权限策略是一组访问权限的集合。

权限

主账户 (资源 Owner) 控制所有权限

• 每个资源有且仅有一个属主 (资源 Owner) 。该属主必须是主用户，对资源拥有完全控制权限。
• 资源属主不一定是资源创建者。比如，一个 IAM 用户被授予创建资源的权限，该用户创建的资源归属于主用户，该用户是资源创建者但不是资源属主。
  IAM 用户 (操作员) 默认无任何权限
• IAM 用户代表的是操作员，其所有操作都需被显式授权。
• 新建 IAM 用户默认没有任何操作权限，只有在被授权之后，才能通过控制台和 API 操作资源。
  资源创建者 (IAM 用户) 不会自动拥有对所创建资源的任何权限
• 如果 IAM 用户被授予创建资源的权限，用户将可以创建资源。
• 但是 IAM 用户不会自动拥有对所创建资源的任何权限，除非资源 Owner 对他有显式的授权。

权限策略

权限策略 (Policy) 是用语法结构所描述的一组权限，它可以精确地描述被授权的资源集、操作集以及授权条件。通过给用户或用户组附加权限策略，用户或用户组中的所有用户就能获得权限策略中指定的访问权限，当权限策略中既有 Allow 又有 Deny 的授权语句时，遵循 Deny 优先的原则。
在 IAM 中，权限策略是一种资源实体，用户可以创建、更新、删除和查看权限策略。IAM 支持以下两种权限策略：

• 系统策略：系统策略是网宿科技IAM提供的一组通用权限策略，主要针对不同产品的只读权限或所有权限。IAM 会自动升级系统策略，用户不可进行修改。
• 自定义策略：由于系统策略的授权粒度比较粗，如果这种粗粒度权限策略不能满足您的需要，那么您可以创建自定义策略。比如，您想控制对某个具体的 ECS 实例的操作权限，或者您要求访问者的资源操作请求必须来自于指定的 IP 地址，您必须使用自定义策略才能满足这种细粒度要求。

给 IAM 主体授权

给 IAM 主体授权，指给用户、用户组或角色绑定一个或多个权限策略。绑定的权限策略可以是系统策略也可以是自定义策略。如果绑定的权限策略被更新，更新后的权限策略自动生效，无需重新绑定权限策略。