編輯 IAM 政策 - AWS Identity and Access Management

編輯 IAM 政策

政策為一個實體,可定義其所連接的身分或資源的許可。政策以 JSON 文件格式儲存在 AWS 中,並在 IAM 中以身分為基礎的政策連接到委託人。您可以將以身分為基礎的政策連接到委託人 (或身分),例如 IAM 使用者群組、使用者或角色。以身分為基礎的政策包括 AWS 受管政策、客戶受管政策以及內嵌政策。您可以在 IAM 中編輯客戶受管政策和內嵌政策,但無法編輯 AWS 受管政策。AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額

檢視政策存取

變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的委託人 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 使用上次存取的資訊精簡 AWS 的許可

編輯客戶受管政策 (主控台)

您可以編輯客戶受管政策以變更政策中定義的許可。客戶受管政策至多可有 5 個版本。這很重要,因為如果您變更受管政策超過 5 個版本,則 AWS Management Console 會提示您決定要刪除的版本。您還可以在編輯之前變更預設版本或或刪除政策版本,以避免出現提示。若要進一步了解版本,請參閱 版本控制 IAM 政策

編輯客戶受管政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要編輯的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Permissions (許可) 標籤,然後選擇 Edit policy (編輯政策)

  5. 執行下列任一步驟:

    • 選擇 Visual editor (視覺編輯工具) 標籤以變更政策,而無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇 Review policy (檢閱政策)

    • 選擇 JSON 標籤以透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Review policy (檢閱政策)。

      注意

      您可以隨時切換 Visual editor (視覺化編輯器) 與 JSON 標籤。不過,如果您進行更改或在 Visual editor (視覺編輯工具) 索引標籤中選擇 Review policy (檢閱政策),IAM 可能會調整您的政策結構以針對視覺編輯工具進行最佳化。如需詳細資訊,請參閱 政策結構調整

  6. Review (檢視) 頁面上,查看政策 Summary (摘要),然後選擇 Save changes (儲存政策) 以儲存您的工作。

  7. 如果受管政策最多有五個版本,則選擇 Save (儲存) 以顯示一個對話方塊。若要儲存新版本,必須至少移除一個舊版本。您無法刪除預設版本。您可以從以下選項中選擇:

    • Remove oldest non-default policy version (version v# - created # days ago) (移除舊的非預設政策版本 (版本 v# – # 天前建立)) – 使用此選項可以查看將刪除的版本以及建立時間。您可以透過選擇第二個選項 Select versions to remove (選取要移除的版本) 來查看所有非預設版本的 JSON 政策文件。

    • Select versions to remove (選擇要刪除的版本) – 使用此選項可查看 JSON 政策文件並選擇一個或多個要刪除的版本。

    選擇要移除的版本後,選擇 Delete version and save (刪除版本並儲存) 以儲存新的政策版本。

設定客戶受管政策的預設版本 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定預設版本的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Policy versions (政策版本) 標籤。選取要設定為預設版本的版本旁的核取方塊,然後選擇 Set as default (設定為預設)

刪除客戶受管政策的版本 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 選擇具有要刪除的版本的客戶受管政策的名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Policy versions (政策版本) 標籤。選取要刪除的版本旁的核取方塊。然後選擇 Delete (刪除)

  5. 確認您要刪除該版本,然後選擇 Delete (刪除)

編輯內嵌政策 (主控台)

您可以從 AWS Management Console 主控台中編輯內嵌政策。

為使用者、使用者群組或角色編輯內嵌政策 (主控台)

  1. 在服務導覽窗格中,選擇 User (使用者)、Users groups (使用者群組) 或者 Roles (角色)。

  2. 選擇您要修改的政策的使用者、 使用者群組或角色的名稱。然後選擇 Permissions (許可) 標籤並展開政策。

  3. 若要編輯內嵌政策,請選擇 Edit Policy (編輯政策)

  4. 執行下列任一步驟:

    • 選擇 Visual editor (視覺編輯工具) 標籤以變更政策,而無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇 Review policy (檢閱政策)

    • 選擇 JSON 標籤以透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Review policy (檢閱政策)。若要儲存變更而不影響目前連接的實體,請清除 Save as default version (儲存為預設版本) 的核取方塊。

    注意

    您可以隨時切換 Visual editor (視覺化編輯器) 與 JSON 標籤。不過,如果您進行更改或在 Visual editor (視覺編輯工具) 索引標籤中選擇 Review policy (檢閱政策),IAM 可能會調整您的政策結構以針對視覺編輯工具進行最佳化。如需詳細資訊,請參閱 政策結構調整

  5. Review (檢視) 頁面上,查看政策 Summary (摘要),然後選擇 Save changes (儲存政策) 以儲存您的工作。

編輯客戶受管政策 (AWS CLI)

您可以從 AWS Command Line Interface (AWS CLI) 編輯客戶受管政策。

注意

受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。

若要編輯客戶受管政策 (AWS CLI)

  1. (選用) 若要檢視關於政策的資訊,請執行下列命令:

  2. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:

  3. 若要編輯客戶受管政策,請執行下列命令:

  4. (選用) 若要驗證客戶受管政策,請執行下列 IAM Access Analyzer 命令:

若要設定客戶受管政策的預設版本 (AWS CLI)

  1. (選用) 若要列出受管政策,請執行下列命令:

  2. 若要設定客戶受管政策的預設版本,請執行下列命令:

若要刪除客戶受管政策的版本 (AWS CLI)

  1. (選用) 若要列出受管政策,請執行下列命令:

  2. 若要刪除客戶受管政策,請執行下列命令:

編輯客戶受管政策 (AWS API)

您可以使用 AWS API 來編輯客戶受管政策。

注意

受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。

若要編輯客戶受管政策 (AWS API)

  1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:

  2. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:

  3. 若要編輯客戶受管政策,請呼叫下列操作:

  4. (選用) 若要驗證客戶受管政策,請呼叫下列 IAM Access Analyzer 操作:

若要設定客戶受管政策的預設版本 (AWS API)

  1. (選用) 若要列出受管政策,請呼叫下列操作:

  2. 若要設定客戶受管政策的預設版本,請呼叫下列操作:

若要刪除客戶受管政策的版本 (AWS API)

  1. (選用) 若要列出受管政策,請呼叫下列操作:

  2. 若要刪除客戶受管政策,請呼叫下列操作: