策略管理：

策略是用于定义和描述一条或多条权限的语法规范，可以赋予、撤销给不同的身份用户。IAM 支持两种类型的策略，系统策略和自定义策略。
创建策略：

新建自定义策略

主账户或者授权的子用户可以为主账户创建新的自定义策略，操作如下：
使用主账户或者已授权的子用户身份登录控制台（新版）；
选择“访问控制”一级菜单->选择“权限管理”二级菜单；
在“策略”列表页面，选择“自定义策略”tab页，点击“新建策略”按钮，进入“新建策略”向导对话框，如下图：

目前支持三种创建自定义策略的方式：分为按“产品功能/项目权限”自定义的策略、按“可视化配置”自定义的策略和按“策略语法”自定义的策略。

按“产品功能/项目权限”自定义策略

流程分为两步：
1、在“新建策略”页面，选中“产品功能/项目权限”，选择“服务类型”，可多选；

2、开启所选服务类型下的功能权限，每个服务类型下需至少开启一个功能权限，点击“创建策略”，完成自定义策略；

按“可视化配置”自定义策略

流程分为两步：
1、在“新建策略”页面，选中“可视化配置”，点击“添加策略语句”；

2、在“添加策略语句”对话框，选择“产品服务”和对应的“操作名称”，也可以对“资源范围”和“限制条件”进行编辑；

限制条件：勾选IP区间选项，填写限制ip的具体值，支持单一ip地址和ip段。例如下图中，只允许ip为10.31.24.21访问对应的open-api

按“策略语法”自定义策略

流程分为两步：
1、在“新建策略”页面，选中“策略语法”，选择所需的“策略模板”，点击下一步；

2、在“编辑策略内容”页面进行策略编辑，完成后点击“验证策略”，当页面上方弹出“策略文档格式正确”的提示，确认无误后，点击“创建策略”；

3、包含IP限制条件的策略例子如下：该策略只允许ip为10.31.24.21和10.31.23.11/24的ip段访问对应的open-api

策略如下：

{
    "Version": "2015-11-01",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "ksc:SourceIp": [
                        "10.31.24.21",
                        "10.31.23.11/24"
                    ]
                }
            }
        }
    ]
}