建立 IAM 政策 - AWS Identity and Access Management

建立 IAM 政策

政策為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS Management Console、AWS CLI 或 AWS API 在 IAM 中建立客戶受管政策。客戶受管政策是獨立的政策,在您自己的 AWS 帳戶進行管理。然後,您可以將政策連接到 AWS 帳戶中的身分 (使用者、群組或角色)。

IAM 中連接到身分的政策又稱為以身分為基礎的政策。以身分為基礎的政策可能包括 AWS 受管政策、客戶受管政策、內嵌政策。AWS 受管政策由 AWS 建立及管理。您可以使用這些政策,但無法管理。內嵌政策是您建立並接內嵌至 IAM 群組、使用者或角色的政策。內嵌原則無法在其他身分上重複使用,或在其存在的身分之外進行管理。如需詳細資訊,請參閱 新增和移除 IAM 身分許可

最佳實務是使用客戶受管政策,而非內嵌政策。此外,最好使用客戶受管政策而非 AWS 受管政策。AWS 受管政策通常會提供廣泛的系統管理或唯讀許可。為了達到最高安全性,授予最低許可只會授予執行特定任務工作的許可。

當您建立或編輯 IAM 政策時,AWS 可以自動執行政策驗證,協助您建立具有最低許可的有效政策。在 AWS Management Console 中,IAM 識別 JSON 語法錯誤,而 IAM Access Analyzer 會提供額外的政策檢查及建議,協助您進一步改良政策。若要進一步了解政策驗證的資訊,請參閱 驗證 IAM 政策。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 IAM Access Analyzer 政策驗證

您可以使用 AWS Management Console、AWS CLI 或 AWS API 在 IAM 中建立客戶受管政策。