# 准备最低权限许可 使用*最低权限许可*是 IAM 最佳实践的建议。最低权限许可的概念是授予用户执行某项任务所需的权限,而不授予其他权限。设置时,请考虑如何支持最低权限许可。根用户、管理员用户和紧急访问 IAM 用户都拥有强大的权限,而日常任务不需要这些权限。在您学习 AWS 和试用各种服务时,我们建议您在 IAM Identity Center 中至少创建一个具有较低权限的用户,以便在不同的场景中使用。您可以使用 IAM policy 来定义在特定条件下可以对特定资源执行的操作,然后使用较低权限的账户连接到这些资源。 如果您使用的是 IAM Identity Center,请考虑使用 IAM Identity Center 权限集作为开始。要了解更多信息,请参阅《IAM Identity Center 用户指南》中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)**。 如果您不使用 IAM Identity Center,则请使用 IAM 角色为不同的 IAM 实体定义权限。要了解更多信息,请参阅[IAM 角色创建](id_roles_create.md)。 IAM 角色和 IAM Identity Center 权限集均可使用基于工作职能的 AWS 托管策略。有关这些策略授予权限的详细信息,请参阅 [工作职能的 AWS 托管策略](access_policies_job-functions.md)。 **重要** 请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限许可,因为它们可供所有 AWS 客户使用。设置后,我们建议您使用 IAM Access Analyzer 根据在 AWS CloudTrail 中记录的访问活动来生成最低权限策略。有关策略生成的更多信息,请参阅 [IAM Access Analyzer 策略生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。 开始使用时,建议您使用 AWS 托管策略来授予权限。经过预定义的示例活动时段(如 90 天)后,您可以查看人员和工作负载已访问的服务。然后,您可以创建新的客户管理型策略,该策略的权限有所减少以替换 AWS 托管策略。新策略应仅包括采样周期内访问的服务。更新权限以移除 AWS 托管策略并附加您创建的新的客户管理型策略。