管理員任務角色帳單任務角色資料庫管理員任務角色資料科學家任務角色開發人員進階使用者任務角色網路管理員任務角色唯讀存取安全稽核人員任務角色支援使用者任務角色系統管理員任務角色僅限檢視使用者任務角色政策更新

AWS 受管理的工作職能政策

我們建議使用授予最低權限的政策，或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的自訂政策。您必須建立程序，以允許您的團隊在必要時要求更多許可。建立 IAM 客戶受管政策需要時間和專業知識，而受管政策可為您的團隊提供其所需的許可。

若要開始將許可新增至您的 IAM 身分 (使用者、使用者群組和角色)，您可以使用AWS 受管理政策。 AWS 受管政策涵蓋常見使用案例，並可在您的 AWS 帳戶. AWS 受管理的政策不會授與最低權限。若授予主體的許可超出執行任務所需的許可，您必須考量其相關的安全性風險。

您可以將 AWS 受管政策 (包括工作職能) 附加至任何 IAM 身分。若要切換到最低權限權限，您可以執行 AWS Identity and Access Management 存取分析器來監視具有 AWS 受管理原則的主體。了解他們正在使用哪些許可後，您可以撰寫自訂政策或產生僅具有團隊所需許可的政策。這不太安全，但是當您了解團隊的使用方式時，會提供更大的靈活性 AWS。

AWS 工作職能的管理政策旨在緊密配合 IT 行業的常見工作職能。您可以使用這些政策來授予執行特定任務角色中的某人所預期的任務所需的許可權。這些政策將許多服務的許可整合到單一政策，以便更輕鬆地使用分散在許多政策中的許可。

使用角色來結合服務

部分政策使用 IAM 服務角色來協助您充分利用其他 AWS 服務中的功能。這些策略授與存取權iam:passrole，允許具有該策略的使用者將角色傳遞給 AWS 服務。此角色會將 IAM 許可委派給 AWS 服務，以代表您執行動作。

您必須根據您的需求建立角色。例如，網路管理員政策允許具有該政策的使用者將名為「流程記錄-vpc」的角色傳遞給 Amazon 服務。 CloudWatch CloudWatch 使用該角色記錄和擷取使用者建立之 VPC 的 IP 流量。

為了遵守安全性最佳實務，工作職能的政策包含篩選條件，其會限制可傳遞的有效角色的名稱。這有助於避免授予不必要的許可。如果您的使用者確實選用的服務角色，則您必須建立遵照政策中指定的命名慣例的角色。然後，將許可授予角色。完成後，使用者就可以設定服務以使用角色，授予它角色提供的許可。

在以下區段，每個政策的名稱是連到 AWS Management Console中政策詳細資訊頁面的連結。您可以在那裡查看政策文件並檢閱其授予的許可。

管理員任務角色

AWS 受管理的策略名稱：AdministratorAccess

使用案例：此使用者具有完整的存取權，可委派許可給 AWS中的每個服務和資源。

策略更新： AWS 維護和更新此策略。如需此政策的變更記錄，請在 IAM 主控台中檢視政策，然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱更新工作職能的 AWS 受管理原則。

策略說明：此策略會授與帳號中所有 AWS 服務和所有資源的所有動作。如需有關受管理策略的詳細資訊，請參閱AdministratorAccess受AWS 管理策略參考指南中的。

注意

您必須先啟用 IAM 使用者和角色存取權限，IAM 使用者或角色才能透過此政策中的許可存取 AWS Billing and Cost Management 主控台。若要執行此操作，請按照有關委派存取權至帳單主控台的教學的步驟 1 中的指示。

帳單任務角色

AWS 受管策略名稱：帳單

使用案例：此使用者需要檢視帳單資訊、設定付款和授權付款。用戶可以監控整個 AWS 服務累積的成本。

政策描述：此政策授予完整許可，以管理帳單、成本、付款方法、預算和報告。如需其他成本管理政策範例，請參閱AWS Billing and Cost Management 使用者指南中的AWS Billing 政策範例。如需受管政策的詳細資訊，請參閱受AWS 管理政策參考指南中的計費。

注意

資料庫管理員任務角色

AWS 受管理的策略名稱：DatabaseAdministrator

使用案例：此使用者在 Cloud 中設定、設定和維護資料庫。 AWS

政策描述：此政策授予許可，以建立、設定和維護資料庫。它包括對 AWS 資料庫服務的存取，例如 Amazon DynamoDB、Amazon Relational Database Service (RDS) 和 Amazon Redshift。查看政策以了解此政策支援之資料庫服務的完整清單。如需有關受管理策略的詳細資訊，請參閱DatabaseAdministrator受AWS 管理策略參考指南中的。

此工作職能原則支援將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊，請參閱本主題稍後的建立角色和連接政策 (主控台)。

資料庫管理員工作職能的選用 IAM 任務角色
使用案例	角色名稱 (* 是萬用字元)	要選擇的服務角色類型	選取此 AWS 受管理的策略
允許使用者監控 RDS 資料庫	rds-monitoring-role	增強監控的 Amazon RDS 角色	亞馬遜 RDS 角EnhancedMonitoring色
允許 AWS Lambda 監控您的數據庫並訪問外部數據庫	rdbms-lambda-access	Amazon EC2	AWSLambda_FullAccess
允許 Lambda 使用 DynamoDB 將檔案上傳至 Amazon S3 和 Amazon Redshift 叢集	lambda_exec_role	AWS Lambda	如 AWS 大數據部落格中所定義建立新的受管政策
允許 Lambda 函數作為您 DynamoDB 表格的觸發條件	lambda-dynamodb-*	AWS Lambda	AWSLambdaDynamoDBExecutionRole
允許 Lambda 函數存取 VPC 中的 Amazon RDS	lambda-vpc-execution-role	如 AWS Lambda 開發人員指南中所定義使用信任政策建立角色	AWSLambdaVPCAccessExecutionRole
允許 AWS Data Pipeline 存取您的 AWS 資源	DataPipelineDefaultRole	如 AWS Data Pipeline 開發人員指南中所定義使用信任政策建立角色	AWS Data Pipeline 文件列出此使用案例所需的權限。請參閱的 IAM 角色，以 AWS Data Pipeline
允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源	DataPipelineDefaultResource角色	如 AWS Data Pipeline 開發人員指南中所定義使用信任政策建立角色	亚马逊 RoleforData PipelineRole

資料科學家任務角色

AWS 受管理的策略名稱：DataScientist

使用案例：此使用者執行 Hadoop 工作和查詢。使用者也會存取和分析資料分析和商業智慧的資訊。

政策說明：此政策授予在 Amazon EMR 叢集上建立、管理和執行查詢的許可，以及使用 Amazon 等工具執行資料分析。 QuickSight該政策包括存取其他資料科學家服務 AWS Data Pipeline，例如 Amazon EC2、Amazon Kinesis、Amazon Machine Learning 和 SageMaker. 查看政策以了解此政策支援之資料科學家服務的完整清單。如需有關受管理策略的詳細資訊，請參閱DataScientist受AWS 管理策略參考指南中的。

此工作職能原則支援將角色傳遞給 AWS 服務的能力。一個語句允許傳遞任何角色 SageMaker。另外一個陳述式只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊，請參閱本主題稍後的建立角色和連接政策 (主控台)。

資料科學家任務職能的選用 IAM 服務角色
使用案例	角色名稱 (* 是萬用字元)	要選擇的服務角色類型	AWS 要選取的受管理原則
允許 Amazon EC2 執行個體存取適合叢集的服務和資源	電腦-EC2_ DefaultRole	Amazon EMR for EC2	AmazonElasticMapReducefor角色
允許 Amazon EMR 存取適用於叢集的 Amazon EC2 服務和資源	電磁鐵 _ DefaultRole	Amazon EMR	亞馬遜電子ServicePolicy產品 _v2
允許 Kinesis Managed Service for Apache Flink 存取串流資料來源	kinesis-*	如 AWS 大數據部落格中所定義使用信任政策建立角色。	請參閱 AWS 大數據部落格，其根據您的使用案例概述四個可能的選項
允許 AWS Data Pipeline 存取您的 AWS 資源	DataPipelineDefaultRole	如 AWS Data Pipeline 開發人員指南中所定義使用信任政策建立角色	AWS Data Pipeline 文件列出此使用案例所需的權限。請參閱的 IAM 角色，以 AWS Data Pipeline
允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源	DataPipelineDefaultResource角色	如 AWS Data Pipeline 開發人員指南中所定義使用信任政策建立角色	亚马逊 RoleforData PipelineRole

開發人員進階使用者任務角色

AWS 受管理的策略名稱：PowerUser存取

使用案例：此使用者執行應用程式開發工作，並可建立和設定支援 AWS 感知應用程式開發的資源和服務。

原則說明：此原則的第一個陳述式會使用NotAction元素來允許所有 AWS 服務及除 AWS Identity and Access Management、 AWS Organizations和以外的所有資源執行所有動作 AWS Account Management。第二個陳述式則會授予可建立服務連結角色的 IAM 許可。如果某些服務必須存取其他服務中的資源 (例如 Amazon S3 儲存貯體)，則這是必要的。它也會授予可檢視使用者組織相關資訊的 Organizations 許可，包括管理帳戶電子郵件和組織限制。雖然此政策會限制 IAM、Organizations，但如果 IAM Identity Center 已啟用，則允許使用者執行所有 IAM Identity Center 動作。它也會授與帳戶管理權限，以檢視帳戶已啟用或停用哪些 AWS 區域。

網路管理員任務角色

AWS 受管理的策略名稱：NetworkAdministrator

使用案例：此使用者的任務是設定和維護 AWS 網路資源。

政策說明：此政策授予在 Auto Scaling、Amazon EC2、路線 53、亞馬遜 AWS Direct Connect、Elastic Load Balancing CloudFront、Amazon SNS、 CloudWatch 日誌、Amazon S3 AWS Elastic Beanstalk、IAM 和 Amazon Virtual Private Cloud 中建立和維護網路資源的許可。 CloudWatch如需有關受管理策略的詳細資訊，請參閱NetworkAdministrator受AWS 管理策略參考指南中的。

此工作功能需要將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole：如需詳細資訊，請參閱本主題後面部分的建立角色和連接政策 (主控台)。

網路管理員工作職能的選用 IAM 任務角色
使用案例	角色名稱 (* 是萬用字元)	要選擇的服務角色類型	AWS 要選取的受管理原則
允許 Amazon VPC 代表使用者在日 CloudWatch 誌中建立和管理日誌，以監控進出 VPC 的 IP 流量	flow-logs-*	如 Amazon VPC 使用者指南中所定義使用信任政策建立角色	此使用案例沒有現有的 AWS 受管理策略，但文件會列出必要的權限。請參閱 Amazon VPC 使用者指南。

唯讀存取

AWS 受管理的策略名稱：ReadOnly存取

使用案例:此使用者需要對 AWS 帳戶中的每個資源進行唯讀存取。

政策說明：此政策會授予列出、取得、描述及檢視資源及其屬性的許可。不包括像建立或刪除變動職能。此原則確實包含對安全性相關 AWS 服務的唯讀存取權，例如 AWS Identity and Access Management 和。 AWS Billing and Cost Management查看政策以了解此政策支援之服務和動作的完整清單。

安全稽核人員任務角色

AWS 受管理的策略名稱：SecurityAudit

使用案例：此使用者監控帳戶是否符合安全需求。這個使用者可以存取日誌和事件，以調查潛在安全漏洞或潛在惡意活動。

原則說明：此原則授與檢視許多 AWS 服務之組態資料及檢閱其記錄檔的權限。如需有關受管理策略的詳細資訊，請參閱SecurityAudit受AWS 管理策略參考指南中的。

支援使用者任務角色

AWS 受管理的策略名稱：SupportUser

使用案例：此使用者連絡 Sup AWS port 部門、建立支援案例，並檢視現有案例的狀態。

原則說明：此原則授與建立和更新 AWS Support 案例的權限。如需有關受管理策略的詳細資訊，請參閱SupportUser受AWS 管理策略參考指南中的。

系統管理員任務角色

AWS 受管理的策略名稱：SystemAdministrator

使用案例：此使用者為開發操作設定和維護資源。

政策說明：此政策授予跨多種 AWS 服務 (包括 Amazon、、、、、、、 AWS CloudTrail、、、 CloudWatch、、 AWS CodeCommit、 AWS CodeDeploy、、 AWS Config、 AWS Directory Service、、、、、 AWS Identity and Access Management、、 AWS Key Management Service、 AWS Lambda、、、、、、Amazon RDS、路線 53、Amazon S3、Amazon SQS 和 Amazon VPC) 的許可。 AWS Trusted Advisor如需有關受管理策略的詳細資訊，請參閱SystemAdministrator受AWS 管理策略參考指南中的。

此工作功能需要將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole：如需詳細資訊，請參閱本主題後面部分的建立角色和連接政策 (主控台)。如需有關任務角色政策更新的詳細資訊，請參閱更新工作職能的 AWS 受管理原則。

系統管理員工作職能的選用 IAM 任務角色
使用案例	角色名稱 (* 是萬用字元)	要選擇的服務角色類型	AWS 要選取的受管理原則
允許在 Amazon ECS 叢集的 EC2 執行個體中執行的應用程式存取 Amazon ECS	ecr-sysadmin-*	EC2 容器服務的 Amazon EC2 角色	亚马逊角ContainerServicefor色
允許使用者監控資料庫	rds-monitoring-role	增強監控的 Amazon RDS 角色	亞馬遜 RDS 角EnhancedMonitoring色
允許在 EC2 執行個體中執行的應用程式存取 AWS 資源。	ec2-sysadmin-*	Amazon EC2	授予 S3 儲存貯體存取權的角色範例政策，如 Amazon EC2 使用者指南所示；視需要自訂
允許 Lambda 讀取 DynamoDB 資料流並寫入日誌 CloudWatch	lambda-sysadmin-*	AWS Lambda	AWSLambdaDynamoDBExecutionRole

僅限檢視使用者任務角色

AWS 受管理的策略名稱：ViewOnly存取

使用案例：此使用者可以跨服務檢視帳戶中的 AWS 資源清單和基本中繼資料。使用者無法讀取超出配額的資源內容或中繼資料，以及列出資源的資訊。

原則說明：此原則會授List*與 AWS 服務資源Get*View*、、和Lookup*存取權。Describe*若要查看此原則針對每個服務包含哪些動作，請參閱ViewOnly存取。如需受管理原則的詳細資訊，請參閱AWS 受管理原則參考指南中的ViewOnly存取。

更新工作職能的 AWS 受管理原則

這些政策都由維護 AWS 並保持最新狀態，以包括對新服務和新功能的支持，因為它們是由 AWS 服務添加。這些政策無法由客戶修改。您可以製作政策的副本，然後修改副本，但該副本不會隨著 AWS 引入新的服務和 API 操作而自動更新。

對於任務角色政策，您可以在 IAM 主控台中檢視版本歷程記錄，以及每次更新的時間和日期。若要執行此操作，請使用此頁面上的連結來檢視政策詳細資訊。然後選擇 Policy versions (政策版本) 索引標籤以檢視版本。此頁面會顯示政策的最近 25 個版本。若要檢視原則的所有版本，請呼叫取得原則版本 AWS CLI 命令或版本 API 作業。GetPolicy

注意

您最多可以有五個版本的客戶管理策略，但 AWS 保留受 AWS 管策略的完整版本歷史記錄。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

政策文法

建立角色和連接政策 (主控台)