编辑 IAM policy
策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 AWS 中,并在 IAM 中作为基于身份的策略附加到主体。您可以将基于身份的策略附加到主体(或身份),例如,IAM 用户组、用户或角色。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。AWS 托管策略无法编辑。AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅IAM 和 AWS STS 配额。
查看策略访问
在更改策略的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 AWS 中的权限。
编辑客户托管策略(控制台)
您可编辑客户托管策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,AWS Management Console将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM policy 版本控制。
编辑客户托管策略(控制台)
登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Policies (策略)。
-
在策略列表中,选择要编辑的策略的名称。您可以使用搜索框筛选策略列表。
-
选择权限选项卡,然后选择编辑。
-
请执行下列操作之一:
-
选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。
-
选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。
注意
您可以随时在可视化和 JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构。
-
-
在查看并保存页面上,查看此策略中定义的权限,然后选择保存更改以保存您的工作。
-
如果管理型策略已达到最大版本数(5 个),选择保存更改将显示对话框。要保存您的新版本,策略最旧的非默认版本将被移除并替换为该新版本。(可选)您也可以将新版本设置为策略的默认版本。
选择保存更改以保存您的新策略版本。
设置客户托管策略的默认版本(控制台)
登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Policies (策略)。
-
在策略列表中,选择要设置其默认版本的策略的名称。您可以使用搜索框筛选策略列表。
-
选择 Policy Versions (策略版本) 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default。
删除某个版本的客户托管策略(控制台)
登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Policies (策略)。
-
选择要删除其版本的客户托管策略的名称。您可以使用搜索框筛选策略列表。
-
选择 Policy Versions (策略版本) 选项卡。选中要删除的版本旁边的复选框,然后选择 Delete(删除)。
-
确认您要删除该版本,然后选择 Delete。
编辑内联策略(控制台)
您可以从 AWS Management Console编辑内联策略。
编辑用户、用户组或角色的内联策略(控制台)
-
在导航窗格中,选择 Users(用户)、User groups(用户组)或 Roles(角色)。
-
请选择具有要修改的策略的用户组、用户或角色的名称。然后选择权限选项卡并展开此策略。
-
要编辑内联策略,请选择 Edit Policy。
-
请执行下列操作之一:
-
选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。
-
选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version 的复选框。
注意
您可以随时在可视化和 JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构。
-
-
在审核页面上,审核策略摘要,然后选择保存更改进行保存。
编辑客户托管策略 (AWS CLI)
您可以从 AWS Command Line Interface (AWS CLI) 编辑客户托管策略。
注意
一个托管 策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。
编辑客户托管策略 (AWS CLI)
-
(可选)要查看有关策略的信息,请运行以下命令:
-
列出托管策略:list-policies
-
检索有关托管策略的详细信息:get-policy
-
-
(可选)要了解策略与身份之间的关系,请运行以下命令:
-
列出托管策略附加到的身份(用户、用户组和角色):
-
列出附加到身份(用户、用户组或角色)的托管策略:
-
-
要编辑客户托管策略,请运行以下命令:
-
(可选)要验证客户托管策略,请运行以下 IAM Access Analyzer 命令:
设置客户托管策略的默认版本 (AWS CLI)
-
(可选)要列出托管策略,请运行以下命令:
-
要设置客户托管策略的默认版本,请运行以下命令:
删除客户托管策略的某个版本 (AWS CLI)
-
(可选)要列出托管策略,请运行以下命令:
-
要删除客户托管策略,请运行以下命令:
编辑客户托管策略 (AWS API)
您可以使用 AWS API 编辑客户托管策略。
注意
一个托管 策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。
编辑客户托管策略 (AWS API)
-
(可选)要查看有关策略的信息,请调用以下操作:
-
列出托管策略:ListPolicies
-
检索有关托管策略的详细信息:GetPolicy
-
-
(可选)要了解策略与身份之间的关系,请调用以下操作:
-
列出托管策略附加到的身份(用户、用户组和角色):
-
列出附加到身份(用户、用户组或角色)的托管策略:
-
-
要编辑客户托管策略,请调用以下操作:
-
(可选)要验证客户托管策略,请调用以下 IAM Access Analyzer 操作:
设置客户托管策略的默认版本 (AWS API)
-
(可选)要列出托管策略,请调用以下操作:
-
要设置客户托管策略的默认版本,请调用以下操作:
删除客户托管策略的某个版本 (AWS API)
-
(可选)要列出托管策略,请调用以下操作:
-
要删除客户托管策略,请调用以下操作: