更新角色的权限
使用以下过程更新角色的权限策略和权限边界。
先决条件:查看角色访问权限
在更改角色的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 AWS 中的权限。
更新角色的权限策略
要更改该角色允许的权限,请修改该角色的权限策略。您无法修改 IAM 中的服务相关角色的权限策略。您可能能够修改依赖角色的服务中的权限策略。要检查服务是否支持此功能,请参阅使用 IAM 的AWS服务并查找服务相关角色中列为是的服务。选择是和链接,查看该服务的服务相关角色文档。
更改角色允许的权限 (控制台)
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在 IAM 控制台的导航窗格中,选择角色。
-
选择要修改的角色的名称,然后选择权限选项卡。
-
请执行以下操作之一:
-
要编辑某个现有客户托管策略,请选择该策略的名称,然后选择 Edit policy。
注意
您不能编辑 AWS 托管策略。AWS 托管策略随 AWS 图标 (
) 一起显示。有关 AWS 托管策略与客户托管策略之间的差别的更多信息,请参阅托管策略与内联策略。 -
要将现有的托管策略附加到角色,请选择 Add permissions(添加权限),然后选择 Attach policies(附加策略)。
-
要编辑现有内联策略,请展开策略并选择 Edit(编辑)。
-
要嵌入新的内联策略,请选择 Add permissions(添加权限),然后选择 Create inline policy(创建内联策略)。
-
若要从角色中移除现有策略,请选中策略名称旁边的复选框,然后选择删除。
-
要更改该角色允许的权限,请修改该角色的权限策略。您无法修改 IAM 中的服务相关角色的权限策略。您可能能够修改依赖角色的服务中的权限策略。要检查服务是否支持此功能,请参阅使用 IAM 的AWS服务并查找服务相关角色中列为是的服务。选择是和链接,查看该服务的服务相关角色文档。
更改角色允许的权限 (AWS CLI)
-
(可选)如需查看当前与角色关联的权限,请运行以下命令:
-
aws iam list-role-policies(用于列出内联策略)
-
aws iam list-attached-role-policies(用于列出托管策略)
-
-
对于更新角色的权限所使用的命令,根据您是在更新托管策略还是内联策略而有所不同。
要更新托管策略,请运行以下命令以创建托管策略的新版本:
要更新内联策略,请运行以下命令:
要更改该角色允许的权限,请修改该角色的权限策略。您无法修改 IAM 中的服务相关角色的权限策略。您可能能够修改依赖角色的服务中的权限策略。要检查服务是否支持此功能,请参阅使用 IAM 的AWS服务并查找服务相关角色中列为是的服务。选择是和链接,查看该服务的服务相关角色文档。
更改角色允许的权限 (AWS API)
-
(可选)如需查看当前与角色关联的权限,请调用以下操作:
-
ListRolePolicies(用于列出内联策略)
-
ListAttachedRolePolicies(用于列出托管策略)
-
-
对于更新角色的权限所使用的操作,根据您是在更新托管策略还是内联策略而有所不同。
要更新托管策略,请调用以下操作以创建托管策略的新版本:
要更新内联策略,请调用以下操作:
更新角色的权限边界
要更改对某角色允许的最大权限,请修改角色的权限边界。
更改用于设置角色的权限边界的策略
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
选择具有您要更改的 权限边界 的角色名称。
-
选择权限选项卡。如有必要,打开权限边界部分,然后选择更改边界。
-
选择要用于权限边界的策略。
-
选择更改边界。
在某个人下次担任该角色后,您所做的更改才会生效。
更改用于设置角色的权限边界的托管策略 (AWS CLI)
-
(可选)要查看角色的当前权限边界,请运行以下命令:
-
要使用不同的托管策略来更新角色的权限边界,请运行以下命令:
角色只能具有一个设置为权限边界的托管策略。如果您更改权限边界,则会更改允许的角色的最大权限。
更改用于设置角色的权限边界的托管策略 (AWS API)
-
(可选)要查看角色的当前权限边界,请调用以下操作:
-
要使用不同的托管策略来更新角色的权限边界,请调用以下操作:
角色只能具有一个设置为权限边界的托管策略。如果您更改权限边界,则会更改允许的角色的最大权限。
