在受管政策與內嵌政策之間進行選擇

在決定是使用受管政策還是內嵌政策時，考慮您的使用案例。在大多數情況下，我們建議使用受管政策而非內嵌政策。

注意

您可以同時使用受管政策和內嵌政策，來定義主體實體的一般許可和唯一許可。

受管政策具備以下功能：

可重複使用性

單一受管政策可以連接到多個主體實體 (使用者、群組和角色)。您可以建立為您定義有用權限的原則庫 AWS 帳戶，然後視需要將這些原則附加至主參與者實體。

集中變更管理

更改受管政策時，更改會套用於政策連接到的所有主體實體。例如，如果您想要新增 AWS API 的權限，您可以更新客戶管理的政策或建立受 AWS 管理政策的關聯以新增權限。如果您使用受 AWS 管原則，請 AWS 更新原則。更新受管理的原則時，變更會套用至附加受管理原則的所有主參與者實體。相反地，若要變更內嵌原則，您必須個別編輯包含內嵌原則的每個識別。例如，如果一個群組和一個角色都包含同一內嵌政策，則您必須分別編輯這兩個主體實體以變更該政策。

版本控制和還原

在更改客戶管理政策時，更改的政策不會覆蓋現有的政策。IAM 反而會建立新版本的受管政策。IAM 最多可以儲存五個版本的客戶管理政策。如果需要，可以使用政策版本將政策還原為較早版本。

注意

政策版本與 Version 政策元素不同。Version 政策元素是在政策內使用，並定義政策語言的版本。若要進一步了解政策版本，請參閱 版本控制 IAM 政策。若要進一步了解 Version 政策元素，請參閱 IAM JSON 政策元素：Version。

委派許可管理

您可以允許您中的使用者附 AWS 帳戶 加和卸離原則，同時保持對這些策略中定義的權限的控制權限。因此，您可以將一些使用者指定為完全管理員，也就是建立、更新和刪除政策的管理員。隨後可以將其使用者指定為受限管理員。受限管理員可以將政策 (限於您允許連接的政策) 連接到其他主體實體。

如需有關委派許可管理的詳細資訊，請參閱 控制對政策的存取。

較大政策字元限制

受管政策的字元大小上限大於內嵌政策的字元限制。如果達到內嵌政策的字元大小限制，您可以建立更多 IAM 群組，並將受管政策附加到群組。

如需有關配額和限制的詳細資訊，請參閱 IAM 和 AWS STS 配額。

AWS 受管理策略的自動更新

AWS 維護 AWS 受管策略並在必要時更新它們，例如，為新 AWS 服務添加權限，而無需進行更改。更新會自動套用至您已附加 AWS 受管理原則的主參與者實體。

使用內嵌政策

如果您想要在原則與套用原則的識別之間維持嚴格的 one-to-one 關係，內嵌原則非常有用。例如，如果您要確保政策中的許可不會無意中分配給預期身分之外的身分。使用內嵌政策時，政策中的許可不能意外分配給錯誤的身分。此外，當您使用刪除該識別時，內嵌在識別中的原則也會一併刪除，因為它們是主參與者實體的一部分。 AWS Management Console