本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用客戶管理的政策定義自訂IAM權限
原則定義中的身分識別或資源的權限 AWS。您可以在中IAM使用 AWS Management Console、 AWS CLI或建立客戶管理的策略 AWS API。客戶管理策略是您自行管理的獨立策略 AWS 帳戶。然後,您可以將原則附加至您中的識別 (使用者、群組和角色) AWS 帳戶。
以身分識別為基礎的原則是附加至中的身分識別的原則。IAM以身分識別為基礎的政策可以包括 AWS 受管政策、客戶管理的策略和內嵌政策。 AWS 受管理的策略由建立和管理 AWS,您可以使用它們,但無法管理它們。內嵌原則是您建立並直接內嵌至IAM使用者群組、使用者或角色的原則。內嵌原則無法在其他身分識別上重複使用,也無法在其所在身分識別之外進行管理。如需詳細資訊,請參閱新增和移除 IAM 身分許可。
一般而言,最好使用客戶管理的政策,而不是內嵌政策或 AWS 受管理的政策。 AWS 受管理的原則通常提供廣泛的管理或唯讀權限。為了獲得最大的安全性,請授與最低權限,這表示只授與執行特定工作任務所需的權限。
當您建立或編輯原IAM則時, AWS 可以自動執行原則驗證,以協助您以最少的權限建立有效的原則。在中 AWS Management Console,IAM識別JSON語法錯誤,而 IAM Access Analyzer 則提供額外的原則檢查以及建議,以協助您進一步調整原則。若要進一步了解政策驗證的資訊,請參閱 驗證 IAM 政策。若要深入了解IAM存取分析器原則檢查和可採取動作的建議,請參閱IAM存取分析器原則驗證
您可以使用 AWS Management Console AWS CLI、或在中建 AWS API立客戶管理的策略IAM。如需有關使用 AWS CloudFormation 範本新增或更新策略的詳細資訊,請參閱《使AWS CloudFormation 用指南》中的AWS Identity and Access Management 資源類型參考。
