選擇受管政策和內嵌政策

在決定是使用受管政策還是內嵌政策時，考慮您的使用案例。在大多數情況下，我們建議使用受管政策而非內嵌政策。

注意

您可以同時使用受管政策和內嵌政策，來定義主體實體的一般許可和唯一許可。

受管政策具備以下功能：

可重複使用性

單一受管政策可以連接到多個主體實體 (使用者、群組和角色)。您可以建立定義有用權限的原則資料庫 AWS 帳戶，然後視需要將這些原則附加至主參與者實體。

集中變更管理

更改受管政策時，更改會套用於政策連接到的所有主體實體。例如，如果您想為新增權限 AWS API，您可以更新客戶管理的策略或關聯 AWS 管理策略添加權限。如果您使用 AWS 受管理的策略， AWS 更新策略。更新受管理的原則時，變更會套用至附加受管理原則的所有主參與者實體。相反地，若要變更內嵌原則，您必須個別編輯包含內嵌原則的每個識別。例如，如果一個群組和一個角色都包含同一內嵌政策，則您必須分別編輯這兩個主體實體以變更該政策。

版本控制和還原

在更改客戶管理政策時，更改的政策不會覆蓋現有的政策。而是IAM建立受管理策略的新版本。IAM最多可儲存五個版本的客戶管理政策。如果需要，可以使用政策版本將政策還原為較早版本。

注意

政策版本與 Version 政策元素不同。Version 政策元素是在政策內使用，並定義政策語言的版本。若要進一步了解政策版本，請參閱版本控制IAM策。若要進一步了解 Version 政策元素，請參閱 IAMJSON政策元素：Version。

委派許可管理

您可以允許使用者在 AWS 帳戶附加和卸離原則，同時保持對這些策略中定義的權限的控制。因此，您可以將一些使用者指定為完全管理員，也就是建立、更新和刪除政策的管理員。隨後可以將其使用者指定為受限管理員。受限管理員可以將政策 (限於您允許連接的政策) 連接到其他主體實體。

如需有關委派許可管理的詳細資訊，請參閱控制對政策的存取。

較大政策字元限制

受管政策的字元大小上限大於內嵌政策的字元限制。如果達到內嵌原則的字元大小限制，您可以建立更多IAM群組，並將受管理的原則附加至群組。

如需有關配額和限制的詳細資訊，請參閱 IAM和 AWS STS 配額。

自動更新 AWS 受管政策

AWS 維護 AWS 受管理的策略並在必要時更新它們，例如，為新增權限 AWS 服務，您無需進行更改。更新會自動套用至您已附加的主參與者實體 AWS 受管理的原則至。

開始使用受管政策

我們建議使用授予最低權限的政策，或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的客戶管理政策。您必須建立程序，以允許您的團隊在必要時要求更多許可。建立IAM客戶管理的政策需要時間和專業知識，以便為您的團隊提供他們所需的權限。

若要開始將權限新增至您的IAM身分 (使用者、使用者群組和角色)，您可以使用AWS 受管理政策。 AWS 受管理的政策不會授與最低權限。若授予主體的許可超出執行任務所需的許可，您必須考量其相關的安全性風險。

您可以附加 AWS 任何IAM身分的受管理策略，包括工作職能。如需詳細資訊，請參閱新增和移除 IAM 身分許可。

要切換到最低權限權限，您可以運行 AWS Identity and Access Management 訪問分析器來監視主體 AWS 受管理的策略。了解他們正在使用哪些許可後，您可以撰寫或產生僅具有團隊所需許可的客戶管理政策。這不太安全，但是當您了解團隊的使用方式時，可提供更大的靈活性 AWS。如需詳細資訊，請參閱IAM存取分析器原則產生。

AWS 受管理的政策旨在為許多常見使用案例提供權限。如需關於 AWS 針對特定工作職能設計的受管理政策，請參閱AWS 受管理的工作職能政策。

對於列表 AWS 受管政策，請參閱 AWS 受管理策略參考指南。

使用內嵌政策

如果您想要在原則與套用原則的識別之間維持嚴格的 one-to-one 關係，內嵌原則非常有用。例如，如果您要確保政策中的許可不會無意中分配給預期身分之外的身分。使用內嵌政策時，政策中的許可不能意外分配給錯誤的身分。此外，當您使用 AWS Management Console 若要刪除該識別，內嵌在識別中的原則也會遭到刪除，因為它們是主參與者實體的一部分。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

受管政策與內嵌政策

將內嵌政策轉換為受管理