如果系统预置的云数据库GaussDB openGauss版权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考《云数据库GaussDB 接口参考》的“策略及授权项说明”章节。

本章为您介绍常用的云数据库GaussDB 自定义策略样例。

自定义策略样例

• 示例1：授权用户创建云数据库GaussDB 实例

{ 
     "Version": "1.1", 
     "Statement": [{ 
         "Effect": "Allow", 
         "Action": ["gaussdb:instance:create"] 
         }] 
 }

• 示例2：拒绝用户删除云数据库GaussDB 实例

拒绝策略需同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。

如果您给用户授予云数据库GaussDB FullAccess的系统策略，但不希望用户拥有云数据库GaussDB FullAccess中定义的删除云数据库GaussDB 实例，您可以创建一条拒绝删除云服务的自定义策略，然后同时将云数据库GaussDB FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云数据库GaussDB实例执行除了删除实例外的所有操作。拒绝策略示例如下：

{ 
     "Version": "1.1", 
     "Statement": [{ 
         "Action": ["gaussdb:instance:delete"], 
         "Effect": "Deny" 
     }] 
 }