任務函数的 AWS 受管政策
我們建議使用授予最低權限的政策,或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的自訂政策。您必須建立程序,以允許您的團隊在必要時要求更多許可。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。
若要開始為 IAM 身分 (使用者、使用者群組和角色) 新增許可,您可以使用 AWS 受管政策。AWS 受管政策涵蓋了常見的使用案例,並可在您的 AWS 帳戶 中使用。AWS 受管的政策不會授予最低權限的許可。若授予主體的許可超出執行任務所需的許可,您必須考量其相關的安全性風險。
您可以將 AWS 受管政策 (包括任務角色) 連接至任何 IAM 身分。若要切換至最低權限許可,您可執行 AWS Identity and Access Management 和 Access Analyzer 以使用 AWS 受管政策來監控主體。了解他們正在使用哪些許可後,您可以撰寫自訂政策或產生僅具有團隊所需許可的政策。這不太安全,但可在您了解團隊如何使用 AWS 時提供更大的靈活性。
工作職能的 AWS 受管政策的設計是密切配合 IT 產業中的常見工作職能。您可以使用這些政策來授予執行特定任務角色中的某人所預期的任務所需的許可權。這些政策將許多服務的許可整合到單一政策,以便更輕鬆地使用分散在許多政策中的許可。
使用角色來結合服務
有些政策使用 IAM 服務角色,來協助您善用其他 AWS 服務中所找到的功能。這些政策授予 iam:passrole 的存取權,可讓具有政策的使用者傳遞角色到 AWS 服務。此角色會委派 IAM 許可給 AWS 服務,以代您執行動作。
您必須根據您的需求建立角色。例如,網路管理員政策可讓具有政策的使用者將名為「flow-logs-vpc」的角色傳遞到 Amazon CloudWatch 服務。CloudWatch 使用該角色來記錄和擷取 IP 流量和使用者所建立的 VPC。
為了遵守安全性最佳實務,工作職能的政策包含篩選條件,其會限制可傳遞的有效角色的名稱。這有助於避免授予不必要的許可。如果您的使用者確實選用的服務角色,則您必須建立遵照政策中指定的命名慣例的角色。然後,將許可授予角色。完成後,使用者就可以設定服務以使用角色,授予它角色提供的許可。
在以下區段,每個政策的名稱是連到 AWS Management Console 中政策詳細資訊頁面的連結。您可以在那裡查看政策文件並檢閱其授予的許可。
管理員任務角色
AWS 受管政策名稱:AdministratorAccess
使用案例:此使用者具有完整的存取權,可委派許可給 AWS 中的每個服務和資源。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策會對帳戶中所有 AWS 服務和所有資源授予所有動作的許可。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 AdministratorAccess。
注意
在 IAM 使用者或角色可使用此政策中的許可存取 AWS Billing and Cost Management 主控台之前,您必須先啟用 IAM 使用者和角色存取。若要執行此操作,請遵循將存取權授予帳單主控台中的指示,將存取權委派給帳單主控台。
帳單任務角色
AWS 受管政策名稱:Billing
使用案例:此使用者需要檢視帳單資訊、設定付款和授權付款。使用者可以監控整個 AWS 服務的累計成本。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予完整許可,以管理帳單、成本、付款方法、預算和報告。如需其他成本管理政策範例,請參閱《AWS Billing and Cost Management 使用者指南》中的 AWS Billing政策範例 如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 Billing。
注意
在 IAM 使用者或角色可使用此政策中的許可存取 AWS Billing and Cost Management 主控台之前,您必須先啟用 IAM 使用者和角色存取。若要執行此操作,請遵循將存取權授予帳單主控台中的指示,將存取權委派給帳單主控台。
資料庫管理員任務角色
AWS 受管政策名稱:DatabaseAdministrator
使用案例:此使用者會設定、配置和維護 AWS 雲端中的資料庫。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予許可,以建立、設定和維護資料庫。其中包括存取 AWS 資料庫服務,例如 Amazon DynamoDB、Amazon Relational Database Service (RDS) 和 Amazon Redshift。查看政策以了解此政策支援之資料庫服務的完整清單。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 DatabaseAdministrator。
此工作職能政策支援將角色傳遞到 AWS 服務的能力。政策只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊,請參閱本主題稍後的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | 選擇此 AWS 受管政策 |
|---|---|---|---|
| 允許使用者監控 RDS 資料庫 | rds-monitoring-role | 增強監控的 Amazon RDS 角色 | AmazonRDSEnhancedMonitoringRole |
| 允許 AWS Lambda 來監控您的資料庫和存取外部資料庫 | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| 允許 Lambda 使用 DynamoDB 將檔案上傳至 Amazon S3 和 Amazon Redshift 叢集 | lambda_exec_role |
AWS Lambda | 如 AWS 大數據部落格 |
| 允許 Lambda 函數作為您 DynamoDB 表格的觸發條件 | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| 允許 Lambda 函數存取 VPC 中的 Amazon RDS | lambda-vpc-execution-role | 如 AWS Lambda 開發人員指南 中所定義使用信任政策建立角色 | AWSLambdaVPCAccessExecutionRole |
| 允許 AWS Data Pipeline 存取您的 AWS 資源 | DataPipelineDefaultRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | 所以 AWS Data Pipeline 文件列出了此使用案例所需的權限。請參閱 AWS Data Pipeline 的 IAM 角色 |
| 允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源 | DataPipelineDefaultResourceRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AmazonEC2RoleforDataPipelineRole |
資料科學家任務角色
AWS 受管政策名稱:DataScientist
使用案例:此使用者執行 Hadoop 工作和查詢。使用者也會存取和分析資料分析和商業智慧的資訊。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予許可,以在 Amazon EMR 叢集上建立、管理和執行查詢,並使用 Amazon QuickSight 等工具執行資料分析。此政策包含對額外資料科學家服務的存取權限,例如 AWS Data Pipeline、Amazon EC2、Amazon Kinesis、Amazon Machine Learning 和 SageMaker AI。查看政策以了解此政策支援之資料科學家服務的完整清單。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 DataScientist。
此工作職能政策支援將角色傳遞到 AWS 服務的能力。一個陳述式允許傳遞任何角色到 SageMaker AI。另外一個陳述式只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊,請參閱本主題稍後的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | AWS要選擇的 受管政策 |
|---|---|---|---|
| 允許 Amazon EC2 執行個體存取適合叢集的服務和資源 | EMR-EC2_DefaultRole | Amazon EMR for EC2 | AmazonElasticMapReduceforEC2Role |
| 允許 Amazon EMR 存取適用於叢集的 Amazon EC2 服務和資源 | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
| 允許 Kinesis Managed Service for Apache Flink 存取串流資料來源 | kinesis-* |
如 AWS 大數據部落格 |
請參閱 AWS 大數據部落格 |
| 允許 AWS Data Pipeline 存取您的 AWS 資源 | DataPipelineDefaultRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | 所以 AWS Data Pipeline 文件列出了此使用案例所需的權限。請參閱 AWS Data Pipeline 的 IAM 角色 |
| 允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源 | DataPipelineDefaultResourceRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AmazonEC2RoleforDataPipelineRole |
開發人員進階使用者任務角色
AWS 受管政策名稱:PowerUserAccess
使用案例:此使用者執行應用程式的開發任務,並可以建立和設定支援 AWS 感知應用程式開發的資源和服務。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策的第一個陳述式會使用 NotAction 元素,以允許所有 AWS 服務和所有資源的所有動作,但 AWS Identity and Access Management、AWS Organizations 和 AWS Account Management 除外。第二個陳述式則會授予可建立服務連結角色的 IAM 許可。如果某些服務必須存取其他服務中的資源 (例如 Amazon S3 儲存貯體),則這是必要的。它也會授予可檢視使用者組織相關資訊的 Organizations 許可,包括管理帳戶電子郵件和組織限制。雖然此政策會限制 IAM、Organizations,但如果 IAM Identity Center 已啟用,則允許使用者執行所有 IAM Identity Center 動作。它也會授予帳戶管理許可,以便檢視該帳戶啟用或停用哪些了 AWS 區域。
網路管理員任務角色
AWS 受管政策名稱:NetworkAdministrator
使用案例:此使用者的任務是設定和維護 AWS 網路資源。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策說明:此政策授予許可,在 Auto Scaling、Amazon EC2、AWS Direct Connect、Route 53、Amazon CloudFront、Elastic Load Balancing、AWS Elastic Beanstalk、Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM 和 Amazon Virtual Private Cloud 中建立和維護網路資源。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 NetworkAdministrator。
此工作職能需要將角色傳遞到 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole:如需詳細資訊,請參閱本主題後面部分的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | 要選擇的 AWS 受管政策 |
|---|---|---|---|
| 可讓 Amazon VPC 代表使用者在 CloudWatch Logs 中建立和管理日誌,以監控進出 VPC 的 IP 流量 | flow-logs-* | 如 Amazon VPC 使用者指南 中所定義使用信任政策建立角色 | 此使用案例沒有現有 AWS 受管政策,但文件列出所需的許可。請參閱 Amazon VPC 使用者指南。 |
唯讀存取
AWS 受管政策名稱:ReadOnlyAccess
使用案例:此使用者需要對 AWS 帳戶 中的每個資源進行唯讀存取。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策說明:此政策會授予列出、取得、描述及檢視資源及其屬性的權限。不包括像建立或刪除變動職能。此政策包含對安全性相關 AWS 服務的唯讀存取,例如 AWS Identity and Access Management 和 AWS Billing and Cost Management。查看政策以了解此政策支援之服務和動作的完整清單。
安全稽核人員任務角色
AWS 受管政策名稱:SecurityAudit
使用案例:此使用者監控帳戶是否符合安全需求。這個使用者可以存取日誌和事件,以調查潛在安全漏洞或潛在惡意活動。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予許可,以檢視許多 AWS 服務的組態資料和檢閱其日誌。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SecurityAudit。
支援使用者任務角色
AWS 受管政策名稱:SupportUser
使用案例:此使用者聯絡 AWS Support、建立支援案例,以及檢視現有案例的狀態。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予許可,以建立和更新 AWS Support案例。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SupportUser。
系統管理員任務角色
AWS 受管政策名稱:SystemAdministrator
使用案例:此使用者為開發操作設定和維護資源。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策說明:此政策授予許可,在各種 AWS 服務中建立和維護資源,包括:AWS CloudTrail、Amazon CloudWatch、AWS CodeCommit、AWS CodeDeploy、AWS Config、AWS Directory Service、Amazon EC2、AWS Identity and Access Management、AWS Key Management Service、AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS、AWS Trusted Advisor 和 Amazon VPC。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SystemAdministrator。
此工作職能需要將角色傳遞到 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole:如需詳細資訊,請參閱本主題後面部分的 建立角色和連接政策 (主控台)。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | AWS要選擇的 受管政策 |
|---|---|---|---|
| 允許在 Amazon ECS 叢集的 EC2 執行個體中執行的應用程式存取 Amazon ECS | ecr-sysadmin-* | EC2 容器服務的 Amazon EC2 角色 | AmazonEC2ContainerServiceforEC2Role |
| 允許使用者監控資料庫 | rds-monitoring-role | 增強監控的 Amazon RDS 角色 | AmazonRDSEnhancedMonitoringRole |
| 允許在 EC2 執行個體中執行的應用程式存取 AWS 資源。 | ec2-sysadmin-* | Amazon EC2 | 授予 S3 儲存貯體存取權的角色的範例政策,如《Amazon EC2 使用者指南》https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html中所示;可視需要自訂 |
| 允許 Lambda 讀取 DynamoDB Streams 和寫入 CloudWatch Logs | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
僅限檢視使用者任務角色
AWS 受管政策名稱:ViewOnlyAccess
使用案例:此使用者可以跨服務檢視帳戶中的 AWS 資源和基本中繼資料的清單。使用者無法讀取超出配額的資源內容或中繼資料,以及列出資源的資訊。
政策更新:AWS 會維護並更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務角色的 AWS 受管政策更新。
政策描述:此政策授予 AWS 服務之資源的 List*、Describe*、Get*、View* 和 Lookup* 存取權。若要查看此政策針對每個服務包含哪些動作,請參閱 ViewOnlyAccess
任務角色的 AWS 受管政策更新
這些政策均由 AWS 維護且保持在最新狀態,以包含對 AWS 服務所新增的新服務和新功能的支援。這些政策無法由客戶修改。您可以複製一份政策,然後修改副本,但副本不會自動更新,因為 AWS 會引入新的服務和 API 操作。
對於任務角色政策,您可以在 IAM 主控台中檢視版本歷程記錄,以及每次更新的時間和日期。若要執行此操作,請使用此頁面上的連結來檢視政策詳細資訊。然後選擇 Policy versions (政策版本) 索引標籤以檢視版本。此頁面會顯示政策的最近 25 個版本。若要檢視政策的所有版本,請呼叫 get-policy-version AWS CLI 命令或 GetPolicyVersion API 操作。
注意
您最多可以有 5 個版本的客戶管理政策,但 AWS 會保留 AWS 受管政策的完整版本歷史記錄。
