Editar políticas do IAM - AWS Identity and Access Management

Editar políticas do IAM

Uma política é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. As políticas são armazenadas na AWS como documentos JSON e são anexadas a entidades principais como políticas baseadas em identidade no IAM. Você pode anexar uma política baseada em identidade a uma entidade de segurança (ou identidade), como um grupo de usuários, usuário ou função do IAM. As políticas baseadas em identidade incluem as políticas gerenciadas pela AWS, as políticas gerenciadas pelo cliente e as políticas em linha. Você pode editar as políticas gerenciadas pelo cliente e as políticas em linha no IAM. As políticas gerenciadas pela AWS não podem ser editadas. O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS.

Em geral, é melhor usar políticas gerenciadas pelo cliente em vez de políticas em linha ou políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS costumam fornecer amplas permissões administrativas ou somente leitura. As políticas em linha não podem ser reutilizadas em outras identidades ou gerenciadas fora da identidade onde existem. Para maior segurança, conceda privilégio mínimo. Ele concede apenas as permissões necessárias para executar tarefas de trabalho específicas.

Quando você cria ou edita políticas do IAM, a AWS pode executar automaticamente a validação de políticas para ajudar você a criar uma política eficaz com o mínimo privilégio em mente. No AWS Management Console, o IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte Validação de política do IAM. Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte Validação de política do IAM Access Analyzer.

É possível usar o AWS Management Console, a AWS CLI ou a API da AWS para excluir políticas gerenciadas pelo cliente e políticas em linha no IAM. Para obter mais informações sobre o uso de modelos do AWS CloudFormation para adicionar ou atualizar políticas, consulte a Referência a tipos de recursos do AWS Identity and Access Management, no Guia do usuário do AWS CloudFormation.