Escolher entre políticas gerenciadas e em linha - AWS Identity and Access Management
Usar políticas em linha

Escolher entre políticas gerenciadas e em linha

Considere seus casos de uso ao decidir entre políticas gerenciadas e em linha. Na maioria dos casos, recomendamos que você use políticas gerenciadas em vez de políticas em linha.

nota

É possível usar políticas gerenciadas e em linha juntas para definir permissões comuns e exclusivas para uma entidade principal.

As políticas gerenciadas fornecem os seguintes recursos:

Capacidade de reutilização

Uma única política gerenciada pode ser anexada a várias entidades principais (usuários, grupos e funções). Você pode criar uma biblioteca de políticas que definem permissões úteis para sua Conta da AWS e anexar essas políticas a entidades principais, conforme necessário.

Gerenciamento de alterações central

Quando você alterar uma política gerenciada, a alteração será aplicada a todas as entidades principais às quais a política estiver anexada. Por exemplo, se você quiser adicionar permissões para uma nova API da AWS, poderá atualizar uma política gerenciada pelo cliente ou associar uma política gerenciada pela AWS para adicionar a permissão. Se você estiver usando uma política gerenciada pela AWS, a AWS atualizará a política. Quando uma política gerenciada é atualizada, as alterações são aplicadas a todas as entidades principais às quais a política gerenciada está anexada. Por outro lado, para alterar uma política em linha, é necessário editar individualmente cada identidade que a contém. Por exemplo, se um grupo e um perfil contiverem a mesma política em linha, você deverá editar individualmente as duas entidades principais para alterar essa política.

Versionamento e reversão

Quando você altera uma política gerenciada pelo cliente, a política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada. O IAM armazena até cinco versões de suas políticas gerenciadas pelo cliente. Você pode usar as versões da política para reverter uma política para uma versão anterior, conforme necessário.

nota

Uma versão de política é diferente de um elemento de política Version. O elemento de política Version é usado em uma política e define a versão da linguagem da política. Para saber mais sobre as versões de política, consulte Versionamento de políticas do IAM. Para saber mais sobre o elemento de política Version, consulte Elementos de política JSON do IAM: Version.

Como delegar o gerenciamento de permissões

Você pode permitir que os usuários na sua Conta da AWS anexem e desanexem políticas sem deixar de manter o controle das permissões definidas nessas políticas. Para isso, você pode designar alguns usuários como administradores completos, ou seja, administradores que podem criar, atualizar e excluir políticas. Em seguida, você pode designar outros usuários como administradores limitados. Esses administradores limitados que podem anexar políticas a outras entidades principais, mas somente as políticas que você permitiu que eles anexassem.

Para obter mais informações sobre como delegar permissões, consulte Controle de acesso a políticas.

Limites de caracteres de política maiores

O limite máximo de tamanho de caracteres para políticas gerenciadas é maior do que o limite de caracteres para políticas em linha. Se você atingir o limite de tamanho de caracteres da política em linha, poderá criar mais grupos do IAM e anexar a política gerenciada ao grupo.

Para obter mais informações sobre cotas e limites, consulte IAM e cotas do AWS STS.

Atualizações automáticas para políticas gerenciadas pela AWS

A AWS mantém políticas gerenciadas pela AWS e as atualiza quando necessário, por exemplo, para adicionar permissões para novos serviços da AWS), sem precisar fazer alterações. As atualizações são aplicadas automaticamente às entidades principais às quais você tenha anexado a política gerenciada pela AWS.

Usar políticas em linha

As políticas em linha são úteis se você desejar manter um relacionamento rigorosamente individual entre uma política e a identidade à qual ela é aplicada. Por exemplo, se você deseja ter certeza de que as permissões em uma política não sejam atribuídas acidentalmente a uma identidade diferente da pretendida. Quando você usa uma política em linha, as permissões nela não podem ser anexadas acidentalmente à identidade errada. Além disso, quando você usa o AWS Management Console para excluir a identidade, as políticas incorporadas nela também são excluídas porque fazem parte da entidade principal.