受 AWS 管和客戶受管政策的自訂許可

您可以建立具有自訂許可 的許可集，結合您在 AWS Identity and Access Management （IAM） 中擁有的任何 AWS 受管和客戶受管政策以及內嵌政策。您也可以包含許可界限，設定其他政策可授予許可集使用者的最大可能許可。

如需如何建立許可集的指示，請參閱 建立、管理和刪除許可集。

您可以連接到許可集的政策類型

內嵌政策

您可以將內嵌政策連接至許可集。內嵌政策是格式化為您直接新增至許可集IAM的政策的文字區塊。您可以在建立新的許可集時，使用 IAM Identity Center 主控台中的政策建立工具貼上政策，或產生新的政策。您也可以使用IAM政策AWS 產生器 建立政策。

當您部署具有內嵌政策的許可集時， IAM Identity Center 會在您指派許可集 AWS 帳戶 的 中建立IAM政策。IAM Identity Center 會在您將許可集指派給 帳戶時建立政策。然後，該政策會連接到使用者擔任 AWS 帳戶 的 IAM角色。

當您建立內嵌政策並指派許可集時， IAM Identity Center 會 AWS 帳戶 為您設定 中的政策。當您使用 建置許可集時客戶受管政策，您必須先在 AWS 帳戶 自己的 中建立政策，才能指派許可集。

AWS 受管政策

您可以將AWS 受管政策連接至您的許可集。受 AWS 管政策是 AWS 維護IAM的政策。相反地， 客戶受管政策 是您建立和維護的帳戶中IAM的政策。 AWS 受管政策可解決 中常見的最低權限使用案例 AWS 帳戶。您可以指派 AWS 受管政策作為 IAM Identity Center 建立角色的許可，或作為許可界限 。

AWS 會維護AWS 任務函數的受管政策，這些函數會指派 AWS 資源的任務特定存取權限。當您選擇將預先定義的許可與許可集搭配使用時，可以新增一個任務函數政策。選擇自訂許可 時，您可以新增多個任務函數政策。

您的 AWS 帳戶 也包含適用於特定 AWS 服務 和 組合的大量 AWS 受管IAM政策 AWS 服務。當您使用自訂許可 建立許可集時，您可以從許多其他 AWS 受管政策中選擇要指派給許可集。

AWS AWS 帳戶 會以 AWS 受管政策填入每個 。若要部署具有 AWS 受管政策的許可集，您不需要先在 中建立政策 AWS 帳戶。當您使用 建置許可集時客戶受管政策，您必須先在 AWS 帳戶 自己的 中建立政策，才能指派許可集。

如需 AWS 受管政策的詳細資訊，請參閱 IAM 使用者指南中的AWS 受管政策。

客戶受管政策

您可以將客戶受管政策連接至您的許可集。客戶受管政策是您建立和維護帳戶中IAM的政策。相反地， AWS 受管政策 是您帳戶中 AWS 維護IAM的政策。您可以指派客戶受管政策作為 IAM Identity Center 建立角色的許可，或作為許可界限 。

當您使用客戶受管政策建立許可集時，您必須在 IAM Identity Center 指派許可集 AWS 帳戶 的每個 中建立IAM具有相同名稱和路徑的政策。如果您要指定自訂路徑，請務必在每個 中指定相同的路徑 AWS 帳戶。如需詳細資訊，請參閱 IAM 使用者指南 中的易記名稱和路徑。IAM Identity Center 會將IAM政策連接至其在 中建立IAM的角色 AWS 帳戶。最佳實務是，將相同的許可套用至您指派許可集的每個帳戶中的政策。如需詳細資訊，請參閱在許可集中使用IAM政策。

如需詳細資訊，請參閱 IAM 使用者指南中的客戶受管政策。

許可界限

您可以將許可界限連接至您的許可集。許可界限是 AWS 受管或客戶受管IAM政策，可設定身分型政策可授予IAM委託人的最大許可。當您套用許可界限時，您的 客戶受管政策、 內嵌政策和 AWS 受管政策無法授予超過許可界限授予許可的任何許可。許可界限不會授予任何許可，而是讓 IAM忽略邊界以外的所有許可。

當您使用客戶受管政策建立許可集作為許可界限時，您必須在 IAM Identity Center 指派許可集 AWS 帳戶 的每個 中建立IAM具有相同名稱的政策。IAM Identity Center 會將IAM政策作為許可界限連接至其在 中建立IAM的角色 AWS 帳戶 。

如需詳細資訊，請參閱 IAM 使用者指南中的IAM實體許可界限。