管理个人的权限

通过使用权限集、权限边界和 CloudFormationRoleIAM 角色，您可以限制需要直接分配给各个委托人的权限数量。这有助于您随着公司的发展而管理访问权限，并帮助您应用授予最低权限的安全最佳实践。

您也可以使用服务相关角色，它向 AWS 服务授予权限，代表您预置资源。您可以向服务授予权限，而不是向 IAM 主体（用户、用户组或角色）授予权限。例如，用于 AWS Proton 和 AWS Service Catalog 的服务相关角色允许您预置自己的模板、资源和环境，而无需向 IAM 主体分配权限。有关更多信息，请参阅使用 IAM 的AWS 服务 和使用服务相关角色（IAM 文档）。

另一种最佳实践是限制个人对 AWS Management Console的访问权限数量。通过限制对控制台的访问，您可以要求个人使用基础设施即代码 (IaC) 技术（例如 HashiCorp Terraform 或 Pulum AWS CloudFormationi）来配置资源。通过 IaC 管理基础架构，您可以跟踪资源随时间推移而发生的变化，并引入批准变更的机制，例如 GitHub 拉取请求。