使用客戶管理政策定義自訂 IAM 許可

政策定義 AWS 中的身分或資源許可。您可以使用 AWS Management Console、AWS CLI 或 AWS API 在 IAM 中建立客戶管理政策。客戶管理政策是獨立的政策，在您自己的 AWS 帳戶中進行管理。然後，您可以將政策連接到 AWS 帳戶 中的身分 (使用者、群組或角色)。

身分型政策是 IAM 中連接到身分的政策。身分型政策可能包括 AWS 受管政策、客戶管理政策和內嵌政策。AWS 受管政策由 AWS 建立及管理，您可以使用但不能管理它們。內嵌政策是您建立並接內嵌至 IAM 使用者群組、使用者或角色的政策。內嵌政策無法在其他身分上重複使用，或在其存在的身分之外進行管理。如需詳細資訊，請參閱新增和移除 IAM 身分許可。

一般而言，最好使用客戶管理政策而非內嵌政策或 AWS 受管政策。AWS 受管政策通常會提供廣泛的系統管理或唯讀許可。為了達到最高安全性，應授予最低權限，這表示僅授予執行特定任務工作所需的許可。

當您建立或編輯 IAM 政策時，AWS 可以自動執行政策驗證，協助您建立具有最低權限的有效政策。在 AWS Management Console 中，IAM 識別 JSON 語法錯誤，而 IAM Access Analyzer 會提供額外的政策檢查及建議，協助您進一步改良政策。若要進一步了解政策驗證的資訊，請參閱 IAM 政策驗證。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議，請參閱 IAM Access Analyzer 政策驗證。

您可以使用 AWS Management Console、AWS CLI 或 AWS API 在 IAM 中建立客戶管理政策。如需有關使用 AWS CloudFormation 範本來新增或更新政策的詳細資訊，請參閱《AWS CloudFormation 使用者指南》中的 AWS Identity and Access Management資源類型參考。