托管策略和客户 AWS 托管策略的自定义权限 - AWS IAM Identity Center
内联策略AWS 托管策略客户托管策略权限边界

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管策略和客户 AWS 托管策略的自定义权限

您可以创建具有自定义权限的权限集,将您在 AWS Identity and Access Management (IAM) 中的任何 AWS 托管策略和客户托管策略与内联策略组合在一起。您还可以纳入权限边界,设置其他策略可授予权限集用户的最大可能权限。

有关如何创建权限集的说明,请参阅创建、管理和删除权限集

您可以附加到权限集的策略类型

内联策略

您可以将内联策略附加到权限集。内联策略是格式化为IAM策略的文本块,您可以直接将其添加到权限集中。创建新权限集时,您可以粘贴策略,也可以使用 Ident IAM ity Center 控制台中的策略创建工具生成新策略。您也可以使用IAM策略生成器创建AWS 策略

当您使用内联策略部署权限集时,Ident IAM ity Center 会在您分配权限集的 AWS 账户 位置中创建一个IAM策略。 IAM当您将权限集分配给账户时,Identity Center 会创建策略。然后,该策略将附加到您的 AWS 账户 用户所IAM扮演的角色上。

当您创建内联策略并分配权限集时,Ident IAM ity Center 会 AWS 账户 为您配置您的策略。使用构建权限集时客户托管策略,在分配权限集之前,必须 AWS 账户 自己创建策略。

AWS 托管策略

您可以将AWS 托管策略附加到您的权限集。 AWS 托管IAM策略是 AWS 维护的策略。相比之下,客户托管策略是您在账户中创建和维护的IAM政策。 AWS 托管策略解决了您的常见的最低权限用例 AWS 账户。您可以将 AWS 托管策略分配为 Ident IAM ity Center 创建的角色的权限或权限边界

AWS 维护工作职能的AWS 托管策略,这些策略可为您的 AWS 资源分配特定于作业的访问权限。当您选择对权限集使用预定义权限时,可以添加一项工作职能策略。选择自定义权限时,可以添加多项工作职能策略。

您 AWS 账户 还包含大量针对特定IAM策略 AWS 服务 和组合的 AWS 托管策略 AWS 服务。创建具有自定义权限的权限集时,可以从许多其他 AWS 托管策略中进行选择,将其分配给您的权限集。

AWS 每个都填 AWS 账户 充 AWS 托管策略。要部署包含 AWS 托管策略的权限集,您无需先在中创建策略 AWS 账户。使用构建权限集时客户托管策略,在分配权限集之前,必须 AWS 账户 自己创建策略。

有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略

客户托管策略

您可以将客户管理型策略附加到您的权限集。客户托管IAM政策是您在账户中创建和维护的政策。相比之下,您的账户中有AWS 托管策略哪些IAM政策可以 AWS 维护。您可以将客户托管策略分配为 Ident IAM ity Center 创建的角色的权限或权限边界

使用客户托管策略创建权限集时,必须在 Ident IAM ity Center 分配权限集的每个IAM AWS 账户 策略中创建具有相同名称和路径的策略。如果要指定自定义路径,请确保在每个 AWS 账户中指定相同的路径。有关更多信息,请参阅《IAM用户指南》中的友好名称和路径。 IAMIdentity Center 会将IAM策略附加到它在您的中创建的IAM角色 AWS 账户。最佳做法是在每个您分配权限集的帐户中对策略应用相同的权限。有关更多信息,请参阅 在权限集中使用IAM策略

有关更多信息,请参阅《IAM用户指南》中的客户托管策略

权限边界

您可以将权限边界附加到您的权限集。权限边界是一种 AWS 托管策略或客户托管IAM策略,用于设置基于身份的策略可以向委托人授予的最大权限。IAM当您应用权限边界时,您的 内联策略客户托管策略、和 AWS 托管策略 不能授予任何超出您的权限边界所授予权限的权限。权限边界不授予任何权限,而是使其IAM忽略边界之外的所有权限。

当您创建以客户托管策略作为权限边界的权限集时,您必须在 Ident IAM ity Center 分配权限集的每个IAM AWS 账户 策略中创建一个名称相同的策略。 IAMIdentity Center 将该IAM策略作为权限边界附加到它在您的中创建的IAM角色 AWS 账户 。

有关更多信息,请参阅《IAM用户指南》中的IAM实体的权限边界