当前专线连接产品仅物理专线、专线网关支持项目管理，虚拟接口暂不支持项目管理功能，虚拟接口资源只有主账号和全局子用户（授予了全局权限DirectConnectFullAccess的子用户）可见。其他子用户如需查看虚拟接口资源信息还需要授予相关权限，实现非全局子用户可见、可管理虚拟接口资源。

自定义策略语法中策略元素配置的详细介绍，请参见IAM策略语法。

自定义策略示例

示例一：自定义虚拟接口读、写策略

此自定义策略可定义虚拟接口资源管理权限，被授权的IAM身份用户可读、写虚拟接口资源。

• 使用场景
  给IAM身份授予专线连接系统预设DirectConnectFullAccess策略的指定项目授权后，IAM身份实际仍无法完整使用专线连接功能，您需要额外创建如下自定义策略，并为IAM身份授予此自定义策略的全局授权后，才可完整使用专线连接功能（物理专线、专线网关、虚拟接口）。

• 策略语法

  {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "directconnect:*VirtualInterface*",
                  "directconnect":*BgpPeer*,
                  "directconnect":*ConnectGatewayRoute*,
                  "cen:*Grant*",
                  "cen:*Revoke*Cen",
                  "vpc:*InternetTunnel*"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  

示例二：自定义虚拟接口只读策略

此自定义策略可定义虚拟接口资源的只读权限，被授权的IAM身份仅可查看虚拟接口资源，但不可操作。

• 使用场景
  给IAM身份授予专线连接系统预设DirectConnectReadOnlyAccess策略的指定项目权限后，IAM身份实际仍无法查看指定项目下完整的专线连接资源，您需要额外创建如下自定义策略，并为IAM身份授予此自定义策略的全局授权后，才可获得专线连接产品指定项目下专线连接资源的只读权限。

• 策略语法

  {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "directconnect:Describe*VirtualInterface*",
                  "directconnect":DescribeBgpPeer*,
                  "directconnect":DescribeConnectGatewayRoute*,
                  "cen:Describe*Grant*",
                  "vpc:DescribeInternetTunnel*"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  

示例三：自定义标签管理权限策略

此自定义策略可定义专线资源标签管理权限，被授权的IAM身份可读、写专线连接资源的标签。除此之外，您也可以直接使用标签服务系统预设策略TagFullAccess，直接为资源授权。

• 使用场景
  IAM身份需要使用标签管理能力，为专线连接资源添加、管理标签。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "vpc:TagResources",
                  "vpc:UntagResources",
                  "vpc:ListTagsForResources"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例四：允许专线网关加入云企业网（CEN）

此自定义策略可定义查询云企业网列表和专线网关加入已有云企业网的操作权限，仅可使用已有云企业网，不允许创建新的云企业网。

• 使用场景
  IAM身份使用完整专线连接能力，除了需要获取专线连接资源权限外，还需要获取把专线网关加入云企业网的操作权限，在此基础上又不希望IAM身份操作云企业网资源，如此专线网关加入已有的云企业网，实现与同云企业网内其他云服务的互通。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "cen:DescribeCen*",
                  "cen:AttachInstanceToCen",
                  "cen:DetachInstanceFromCen"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例五：允许创建云企业网并把专线网关加云企业网（CEN）

此自定义策略可定义查询云企业网列表、创建新的云企业网和专线网关加入已有云企业网的操作权限，可使用已有云企业网，也可以创建新的云企业网。

• 使用场景
  IAM身份使用完整专线连接能力，除了需要获取专线连接资源权限外，还需要获取把专线网关加入云企业网的操作权限，并且不限制IAM身份对云企业网资源的操作权限。如此专线网关加入已有云企业网，或新创建云企业网再加入专线网关，实现与同云企业网内其他云服务的互通。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "cen:CreateCen",
                  "cen:DescribeCen*",
                  "cen:AttachInstanceToCen",
                  "cen:DetachInstanceFromCen"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例六：允许专线网关加入已有中转路由器（TR），但不可操作中转路由器资源

此自定义策略可定义查询中转路由器列表和创建专线网关类型的网络实例连接的操作权限，仅可使用已有的中转路由器资源，不可操作中转路由器资源。

• 使用场景
  IAM身份使用专线连接能力，通过专线网关和中转路由器之间建立连接，实现专线连接连通的网络与中转路由器的私网互通，但又不希望IAM身份操作中转路由器资源。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "tr:DescribeTransitRouters",
                  "tr:CreateTransitRouterDirectConnectGatewayAttachment",
                  "tr:DescribeTransitRouterAttachments"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

相关文档

通用自定义策略示例：文档中提供了多种常见的自定义策略语法示例供您参考。

附录：专线连接资源类型

专线连接资源TRN格式如下表所示：