步驟一：新建授權策略

1. 使用阿里云賬號登錄RAM控制臺。
2. 在左側導航欄，選擇權限管理 > 權限策略。
3. 在權限策略頁面，單擊創建權限策略。
4. 在創建權限策略頁面，單擊可視化編輯頁簽。
5. 配置權限策略，然后單擊繼續編輯基本信息。
   1. 在效果區域，選擇允許或拒絕。
   2. 在服務區域，選擇云服務。
      說明 支持可視化編輯模式的云服務以控制臺界面顯示為準。
   3. 在操作區域，選擇全部操作或指定操作。
      系統會根據您上一步選擇的云服務，自動篩選出可以配置的操作。如果您選擇了指定操作，您需要繼續選擇具體的操作。
   4. 在資源區域，選擇全部資源或指定資源。
      系統會根據您上一步選擇的操作，自動篩選出可以配置的資源類型。如果您選擇了指定資源，您需要繼續單擊添加資源，配置具體的資源ARN。您可以使用匹配全部功能，快速選擇對應配置項的全部資源。

      說明 為了權限策略的正常生效，對操作關聯的必要資源ARN標識了必要，強烈建議您配置該資源ARN。
   5. 可選：在條件區域，單擊添加條件，配置條件。
      條件包括阿里云通用條件和服務級條件，系統會根據您前面配置的云服務和操作，自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
   6. 單擊添加語句，重復上述步驟，配置多條權限策略語句。
6. 輸入權限策略名稱和備注。
7. 檢查并優化權限策略內容。
   • 基礎權限策略優化

     系統會對您添加的權限策略語句自動進行基礎優化。基礎權限策略優化會完成以下任務：

     • 刪除不必要的條件。
     • 刪除不必要的數組。
   • 可選：高級權限策略優化

     您可以將鼠標懸浮在可選：高級策略優化上，單擊執行，對權限策略內容進行高級優化。高級權限策略優化功能會完成以下任務：

     • 拆分不兼容操作的資源或條件。
     • 收縮資源到更小范圍。
     • 去重或合并語句。
8. 單擊確定。
9. 返回權限策略頁面，在權限策略列表中查看新建的策略是否已存在。

步驟二：為 RAM 用戶授權

1. 使用阿里云賬號登錄RAM控制臺。
2. 在左側導航欄，選擇權限管理 > 授權。
3. 在授權頁面，單擊新增授權。
4. 在新增授權頁面輸入授權主體（RAM 用戶），在選擇權限下方選擇自定義策略，在權限策略列表中選擇之前新建的權限策略，單擊確定。
5. 返回授權頁面，查看是否已經存在給 RAM 用戶（被授權主體）授權對應的權限策略的記錄。
   

結果驗證

完成為RAM用戶授權事務分組后，使用RAM用戶的賬號登錄 GTS 控制臺，在左側導航欄單擊事務總覽，在事務總覽頁面檢查是否能查看并操作已授權的事務分組。

授權策略示例

• 示例 1：針對單個事務分組授權

  {
      "Statement": [
          {
              "Action": "*",
              "Effect": "Allow",
              "Resource": "acs:txc:*:xxxxx:vgroup/test1.xxxxx.QD"
          }
      ],
      "Version": "1"
  }            

  • Action 和 Effect 字段無需填寫。只需要填寫 Resource 字段內容。
  • xxxxx 為主賬號 ID。
  • test1.xxxxx.QD 為事務分組的全名，可以在GTS控制臺獲取。

  這樣一個授權策略授予某RAM用戶后，該用戶即可使用事務分組test1.xxxxx.QD。

• 示例 2：授權全部事務分組

  {
    "Statement": [
      {
        "Action": "*",
        "Effect": "Allow",
        "Resource": "acs:txc:*:xxxxx:vgroup/*"
      }
    ],
    "Version": "1"
  }               

  • Action 和 Effect 字段無需填寫。只需要填寫 Resource 字段內容。
  • xxxxx 為主賬號 ID。
  • vgroup/ 后面的 * 表示所有事務分組。

  這樣一個授權策略授予某RAM用戶后，RAM用戶即可使用主賬號的全部事務分組。