什么是 AWS 托管策略? - AWS 托管策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS 托管策略?

AWS 托管策略是由 AWS 创建和管理的独立策略。AWS 托管策略旨在为许多常见使用案例提供权限。与必须自己编写策略相比,通过托管策略可以更轻松地将权限分配给用户、组和角色。

请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限许可,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略

了解策略参考页面

每个策略参考页面均包含以下信息:

  • 使用此策略 – 是否可以将此策略附加到用户、组和角色

  • 策略详细信息

    • 类型 - AWS 托管策略的类型

      • AWS managed policy – 标准 AWS 托管策略

      • Job function policy – 贴合行业中常用工作职能的策略

      • Service-linked role policy – 附加到服务相关角色的策略允许服务代表您执行操作,例如 AmazonRDSPreviewServiceRolePolicy

      • Service role policy – 旨在与服务角色配合使用的策略,例如 AWSControlTowerServiceRolePolicy

    • 创建时间 – 首次创建此策略的时间

    • 编辑时间 – 编辑此版本策略的时间

    • ARN – 策略的 Amazon 资源名称

  • 策略版本 – 策略授予的权限版本

  • JSON 策略文档 – 策略 JSON

  • 了解更多 – 与 AWS 托管策略相关的文档链接

已弃用的 AWS 托管策略

AWS 定期更新 AWS 托管策略。大多数情况下,我们会向策略添加权限。当推出新的服务或功能时,我们就会添加权限。为了提高 AWS 托管策略的安全性,我们有时会减小策略的范围。在删除策略权限后,我们将该策略设置为已弃用状态,并提供一个新的可用策略。在 AWS 弃用某项服务或功能后,我们也会弃用该功能的 AWS 托管策略。

如果您收到一封电子邮件通知,告知您正在使用的策略已弃用,我们建议您立即采取行动。确定策略的变更并更新您的工作流。如果 AWS 提供了替代策略,则计划将其附加到所有受影响的身份(用户、组和角色),然后将已弃用的策略与这些身份分离。

已弃用的策略具有以下特性:

  • 已从本指南中删除。

  • 对于所有当前已附加该策略的身份,权限仍然有效。

  • 在已附加该策略的身份所在的账户中,该策略将显示在 IAM 控制台的策略列表中,旁边有一个警告图标。

  • 无法附加至任何新身份。该策略若与当前身份分离则不能重新附加。

  • 在与所有当前实体分离以后,该策略将不再显示。