Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente

As políticas definem permissões para identidades ou recursos na AWS. Você pode usar o AWS Management Console, a AWS CLI, ou a API da AWS para criar políticas gerenciadas pelo cliente no IAM. As políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

Uma política anexada a uma identidade no IAM é conhecida como uma política baseada em identidade. As políticas baseadas em identidade podem incluir políticas gerenciadas pela AWS, políticas gerenciadas pelo cliente e políticas em linha. As políticas gerenciadas pela AWS são criadas e gerenciadas pela AWS. Você pode usá-las, mas não pode gerenciá-las. Uma política em linha é aquela que você cria e incorpora diretamente em um grupo de usuários, usuário ou perfil do IAM. As políticas em linha não podem ser reutilizadas em outras identidades ou gerenciadas fora da identidade onde existem. Para ter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

Em geral, é melhor usar políticas gerenciadas pelo cliente em vez de políticas em linha ou políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS costumam fornecer amplas permissões administrativas ou somente leitura. Para maior segurança, conceda privilégio mínimo. Ele concede apenas as permissões necessárias para executar tarefas de trabalho específicas.

Quando você cria ou edita políticas do IAM, a AWS pode executar automaticamente a validação de políticas para ajudar você a criar uma política eficaz com o mínimo privilégio em mente. No AWS Management Console, o IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de políticas adicionais com recomendações para ajudar você a refinar ainda mais suas políticas. Para saber mais sobre validação de política, consulte Validação de política do IAM. Para saber mais sobre as verificações de política do IAM Access Analyzer e as recomendações práticas, consulte Validação de política do IAM Access Analyzer.

Você pode usar o AWS Management Console, a AWS CLI ou a API da AWS para criar políticas gerenciadas pelo cliente no IAM. Para obter mais informações sobre o uso de modelos do AWS CloudFormation para adicionar ou atualizar políticas, consulte a Referência a tipos de recursos do AWS Identity and Access Management, no Guia do usuário do AWS CloudFormation.