示例：分配资源和权限

如果用户符合策略条件，则身份策略会自动分配资源（例如域帐户）或授予权限（例如使用户成为角色的成员）。例如，您可以创建根据用户的职位分配资源和角色的身份策略集。

要创建分配资源和角色的身份策略集，请使用以下设置为您所在组织的每个职位创建身份策略：

设置	值
策略条件	职位 = <某职位>
应用策略时的操作	向符合策略条件的用户分配资源或权限的任意操作，例如：成为 <某组> 的成员成为管理角色 <某管理角色> 的成员成为配给角色 <某配给角色> 的成员
针对删除策略的操作	当用户不再符合策略条件时，删除资源或权限的任意操作。例如，如果应用身份策略后，Identity Manager 使用户成为角色的成员，则您可能希望配置 Identity Manager 以在用户不再符合策略条件时吊销角色。

设置

值

策略条件

职位 = <某职位>

应用策略时的操作

向符合策略条件的用户分配资源或权限的任意操作，例如：

针对删除策略的操作

当用户不再符合策略条件时，删除资源或权限的任意操作。例如，如果应用身份策略后，Identity Manager 使用户成为角色的成员，则您可能希望配置 Identity Manager 以在用户不再符合策略条件时吊销角色。

下图展示了“员工资源”身份策略集的策略示例：