为用户和组创建策略

策略可以分配给组，以便对每个用户组可以执行的操作进行精细控制。默认情况下，只有云帐户管理员和身份域管理员可以访问 Oracle Cloud 控制台。必须为各个环境的服务管理员分配适当的策略，他们才能在 Oracle Cloud 控制台中查看这些环境。同样地，必须将用户分配给特定策略，他们才能查看通知。

您可以灵活地创建多个组，每个组都有自己的策略，然后相应地分配用户。这种方式让您能够对每个用户组可以执行的操作进行精细控制。

要创建策略：

1. （可选）如果需要，可创建要为其分配策略的用户和组。请参阅：

   • 创建用户
   • 创建 IDCS 组
2. 转到 Navigation（导航）菜单，搜索“Identity（身份）”，然后选择 Policies（策略）。
3. 选择要为其订阅策略的 Compartment（区间）。
   
   
   
   
4. 单击 Create Policy（创建策略）以创建所需的读取和管理策略。
   1. 在“Create Policy（创建策略）”中，输入策略的 Name（名称）和 Description（说明）。
   2. 选择 Compartment（区间）。
   3. 在 Policy Builder（策略构建器）中，输入策略语句。

      务必将 GROUP_NAME 替换为要将策略应用于的组的名称。例如：

      Allow group <identity-domain-name>/GROUP_NAME to manage epm-planning-environment-family in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read epm-planning-environment-family in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read organizations-subscriptions in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read organizations-assigned-subscriptions in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read organizations-subscription-regions in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read app-listing-environments in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read metrics in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to inspect domains in tenancy
      Allow group <identity-domain-name>/GROUP_NAME to read announcements in tenancy 

      
      
      
      
      
5. 单击 Create（创建）。