场景： 当授予了身份AdministratorAccess（包含全部支持IAM的产品与服务的管理权限）或ReadOnlyAccess（包含全部支持IAM的产品与服务的只读权限）等范围较大的全局策略时，若需排除部分服务的权限，可创建并绑定效果为“拒绝”的策略。例如以下策略拒绝了对费用中心全部模块的访问。
策略示例：

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "bill:*",
				"bill_volcano_engine:*",
				"billing:*",
				"volc_contract_process:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

解读： 这条策略使用"Deny"来拒绝访问，范围为费用中心的全部服务。