创建 IAM 策略 - AWS Identity and Access Management

创建 IAM 策略

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 在 IAM 中创建客户托管策略。客户托管策略是您在自己的 AWS 账户中管理的独立策略。然后,您可以将策略附加到 AWS 账户中的身份(用户、组和角色)。

附加到 IAM 中的身份的策略称为基于身份的策略。基于身份的策略可以包括 AWS 托管策略、客户托管策略和内联策略。AWS 托管策略由 AWS 创建和管理。您可以使用它们,但无法管理它们。内联策略是您创建并直接嵌入到 IAM 组、用户或角色的策略。内联策略不能在其他身份上重复使用,也不能在它们所存在的身份之外托管。有关更多信息,请参阅添加和删除 IAM 身份权限

作为最佳实践,请使用客户托管策略而不是内联策略。此外,最好使用客户托管策略而非 AWS 托管策略。AWS 托管策略通常提供广泛的管理权限或只读权限。为了获得最高安全性,请授予最低特权,即仅授予执行特定作业任务所需的权限。

您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 在 IAM 中创建客户托管策略。