本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 任務函數的 受管政策
我們建議使用授予最低權限的政策,或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的自訂政策。您必須建立程序,以允許您的團隊在必要時要求更多許可。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。
若要開始將許可新增至您的 IAM 身分 (使用者、使用者群組和角色),您可以使用 AWS 受管政策。 AWS 受管政策涵蓋常見的使用案例,並可在 中使用 AWS 帳戶。 AWS 受管政策不會授予最低權限許可。若授予主體的許可超出執行任務所需的許可,您必須考量其相關的安全性風險。
您可以將受 AWS 管政策,包括任務函數,連接到任何 IAM 身分。若要切換到最低權限許可,您可以執行 AWS Identity and Access Management 和 Access Analyzer,以使用 AWS 受管政策監控主體。了解他們正在使用哪些許可後,您可以撰寫自訂政策或產生僅具有團隊所需許可的政策。這較不安全,但在您了解團隊使用的方式時,提供更大的彈性 AWS。
AWS 任務函數的 受管政策旨在與 IT 產業中的常見任務函數密切一致。您可以使用這些政策來授予執行特定任務角色中的某人所預期的任務所需的許可權。這些政策將許多服務的許可整合到單一政策,以便更輕鬆地使用分散在許多政策中的許可。
使用角色來結合服務
有些政策使用 IAM 服務角色,協助您利用其他 AWS 服務中找到的功能。這些政策會授予對 的存取權iam:passrole,這可讓具有 政策的使用者將角色傳遞給 AWS 服務。此角色會將 IAM 許可委派給 AWS 服務,以代表您執行動作。
您必須根據您的需求建立角色。例如,網路管理員政策可讓具有政策的使用者將名為「flow-logs-vpc」的角色傳遞到 Amazon CloudWatch 服務。CloudWatch 使用該角色來記錄和擷取 IP 流量和使用者所建立的 VPC。
為了遵守安全性最佳實務,工作職能的政策包含篩選條件,其會限制可傳遞的有效角色的名稱。這有助於避免授予不必要的許可。如果您的使用者確實選用的服務角色,則您必須建立遵照政策中指定的命名慣例的角色。然後,將許可授予角色。完成後,使用者就可以設定服務以使用角色,授予它角色提供的許可。
在以下區段,每個政策的名稱是連到 AWS Management Console中政策詳細資訊頁面的連結。您可以在那裡查看政策文件並檢閱其授予的許可。
管理員任務角色
AWS 受管政策名稱:AdministratorAccess
使用案例:此使用者具有完整的存取權,可委派許可給 AWS中的每個服務和資源。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策會授予帳戶內所有 AWS 服務和所有資源的所有動作。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 AdministratorAccess。
注意
您必須先啟用 IAM 使用者和角色存取權, IAM 使用者或角色才能使用此政策中的許可存取 AWS Billing and Cost Management 主控台。若要執行此操作,請遵循將存取權授予帳單主控台中的指示,將存取權委派給帳單主控台。
帳單任務角色
AWS 受管政策名稱:帳單
使用案例:此使用者需要檢視帳單資訊、設定付款和授權付款。使用者可以監控整個 AWS 服務累積的成本。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予完整許可,以管理帳單、成本、付款方法、預算和報告。如需其他成本管理政策範例,請參閱《AWS Billing and Cost Management 使用者指南》中的 AWS Billing 政策範例 如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 Billing。
注意
您必須先啟用 IAM 使用者和角色存取權, IAM 使用者或角色才能使用此政策中的許可存取 AWS Billing and Cost Management 主控台。若要執行此操作,請遵循將存取權授予帳單主控台中的指示,將存取權委派給帳單主控台。
資料庫管理員任務角色
AWS 受管政策名稱: DatabaseAdministrator
使用案例:此使用者在 AWS 雲端中設定、設定和維護資料庫。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予許可,以建立、設定和維護資料庫。它包括對 AWS 資料庫服務的存取,例如 Amazon DynamoDB、Amazon Relational Database Service (RDS) 和 Amazon Redshift。查看政策以了解此政策支援之資料庫服務的完整清單。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 DatabaseAdministrator。
此任務函數政策支援將角色傳遞至 AWS 服務的能力。政策只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊,請參閱本主題稍後的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | 選取此 AWS 受管政策 |
|---|---|---|---|
| 允許使用者監控 RDS 資料庫 | rds-monitoring-role | 增強監控的 Amazon RDS 角色 | AmazonRDSEnhancedMonitoringRole |
| 允許 AWS Lambda 監控您的資料庫並存取外部資料庫 | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| 允許 Lambda 使用 DynamoDB 將檔案上傳至 Amazon S3 和 Amazon Redshift 叢集 | lambda_exec_role |
AWS Lambda | 如 AWS 大數據部落格 |
| 允許 Lambda 函數作為您 DynamoDB 表格的觸發條件 | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| 允許 Lambda 函數存取 VPC 中的 Amazon RDS | lambda-vpc-execution-role | 如 AWS Lambda 開發人員指南 中所定義使用信任政策建立角色 | AWSLambdaVPCAccessExecutionRole |
| 允許 AWS Data Pipeline 存取您的 AWS 資源 | DataPipelineDefaultRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AWS Data Pipeline 文件會列出此使用案例所需的許可。請參閱 的 IAM 角色 AWS Data Pipeline |
| 允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源 | DataPipelineDefaultResourceRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AmazonEC2RoleforDataPipelineRole |
資料科學家任務角色
AWS 受管政策名稱:DataScientist
使用案例:此使用者執行 Hadoop 工作和查詢。使用者也會存取和分析資料分析和商業智慧的資訊。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予許可,以在 Amazon EMR 叢集上建立、管理和執行查詢,並使用 Amazon QuickSight 等工具執行資料分析。此政策包含存取其他資料科學家服務,例如 Amazon EC2 AWS Data Pipeline、Amazon Kinesis、Amazon Machine Learning 和 SageMaker AI。查看政策以了解此政策支援之資料科學家服務的完整清單。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 DataScientist。
此任務函數政策支援將角色傳遞至 AWS 服務的能力。一個陳述式允許傳遞任何角色到 SageMaker AI。另外一個陳述式只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊,請參閱本主題稍後的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | AWS 要選取的 受管政策 |
|---|---|---|---|
| 允許 Amazon EC2 執行個體存取適合叢集的服務和資源 | EMR-EC2_DefaultRole | Amazon EMR for EC2 | AmazonElasticMapReduceforEC2Role |
| 允許 Amazon EMR 存取適用於叢集的 Amazon EC2 服務和資源 | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
| 允許 Kinesis Managed Service for Apache Flink 存取串流資料來源 | kinesis-* |
如 AWS 大數據部落格 |
請參閱 AWS 大數據部落格 |
| 允許 AWS Data Pipeline 存取您的 AWS 資源 | DataPipelineDefaultRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AWS Data Pipeline 文件會列出此使用案例所需的許可。請參閱 的 IAM 角色 AWS Data Pipeline |
| 允許在 Amazon EC2 執行個體上執行的應用程式存取您的 AWS 資源 | DataPipelineDefaultResourceRole | 如 AWS Data Pipeline 開發人員指南 中所定義使用信任政策建立角色 | AmazonEC2RoleforDataPipelineRole |
開發人員進階使用者任務角色
AWS 受管政策名稱:PowerUserAccess
使用案例:此使用者執行應用程式開發任務,並可以建立和設定支援 AWS 感知應用程式開發的資源和服務。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策的第一個陳述式使用 NotAction元素來允許所有 AWS 服務和所有資源的所有動作 AWS Identity and Access Management,但 AWS Organizations和 除外 AWS Account Management。第二個陳述式則會授予可建立服務連結角色的 IAM 許可。如果某些服務必須存取其他服務中的資源 (例如 Amazon S3 儲存貯體),則這是必要的。它也會授予可檢視使用者組織相關資訊的 Organizations 許可,包括管理帳戶電子郵件和組織限制。雖然此政策會限制 IAM、Organizations,但如果 IAM Identity Center 已啟用,則允許使用者執行所有 IAM Identity Center 動作。它還授予帳戶管理許可,以檢視帳戶啟用或停用哪些 AWS 區域。
網路管理員任務角色
AWS 受管政策名稱:NetworkAdministrator
使用案例:此使用者的任務是設定和維護 AWS 網路資源。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予許可,以在 Auto Scaling、Amazon EC2 AWS Direct Connect、Route 53、Amazon CloudFront、Elastic Load Balancing AWS Elastic Beanstalk、Amazon SNS、CloudWatch、CloudWatch Logs、Amazon S3、IAM 和 Amazon Virtual Private Cloud 中建立和維護網路資源。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 NetworkAdministrator。
此任務函數需要將角色傳遞至 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole:如需詳細資訊,請參閱本主題後面部分的 建立角色和連接政策 (主控台)。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | AWS 要選取的 受管政策 |
|---|---|---|---|
| 可讓 Amazon VPC 代表使用者在 CloudWatch Logs 中建立和管理日誌,以監控進出 VPC 的 IP 流量 | flow-logs-* | 如 Amazon VPC 使用者指南 中所定義使用信任政策建立角色 | 此使用案例沒有現有的 AWS 受管政策,但文件會列出必要的許可。請參閱 Amazon VPC 使用者指南。 |
唯讀存取
AWS 受管政策名稱:ReadOnlyAccess
使用案例:此使用者需要對 AWS 帳戶中的每個資源進行唯讀存取。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策說明:此政策會授予列出、取得、描述及檢視資源及其屬性的許可。不包括像建立或刪除變動職能。此政策確實包含安全相關 AWS 服務的唯讀存取權,例如 AWS Identity and Access Management 和 AWS Billing and Cost Management。查看政策以了解此政策支援之服務和動作的完整清單。
安全稽核人員任務角色
AWS 受管政策名稱:SecurityAudit
使用案例:此使用者監控帳戶是否符合安全需求。這個使用者可以存取日誌和事件,以調查潛在安全漏洞或潛在惡意活動。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予許可,以檢視許多 AWS 服務的組態資料,以及檢閱其日誌。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SecurityAudit。
支援使用者任務角色
AWS 受管政策名稱:SupportUser
使用案例:此使用者聯絡 AWS 支援、建立支援案例,以及檢視現有案例的狀態。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策會授予建立和更新 支援 案例的許可。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SupportUser。
系統管理員任務角色
AWS 受管政策名稱:SystemAdministrator
使用案例:此使用者為開發操作設定和維護資源。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策授予許可,以跨各種 AWS 服務建立和維護資源 AWS CloudTrail,包括 Amazon CloudWatch AWS CodeCommit、 AWS CodeDeploy、 AWS Config、 AWS Directory Service、Amazon EC2 AWS Identity and Access Management、 AWS Key Management Service、 AWS Lambda、Amazon RDS、Route 53、Amazon S3、Amazon SES、Amazon SQS AWS Trusted Advisor和 Amazon VPC。如需受管政策的詳細資訊,請參閱 AWS Managed Policy Reference Guide 中的 SystemAdministrator。
此任務函數需要將角色傳遞至 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole:如需詳細資訊,請參閱本主題後面部分的 建立角色和連接政策 (主控台)。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
| 使用案例 | 角色名稱 (* 是萬用字元) | 要選擇的服務角色類型 | AWS 要選取的 受管政策 |
|---|---|---|---|
| 允許在 Amazon ECS 叢集的 EC2 執行個體中執行的應用程式存取 Amazon ECS | ecr-sysadmin-* | EC2 容器服務的 Amazon EC2 角色 | AmazonEC2ContainerServiceforEC2Role |
| 允許使用者監控資料庫 | rds-monitoring-role | 增強監控的 Amazon RDS 角色 | AmazonRDSEnhancedMonitoringRole |
| 允許在 EC2 執行個體中執行的應用程式存取 AWS 資源。 | ec2-sysadmin-* | Amazon EC2 | 授予 S3 儲存貯體存取權的角色的範例政策,如《Amazon EC2 使用者指南》https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html中所示;可視需要自訂 |
| 允許 Lambda 讀取 DynamoDB Streams 和寫入 CloudWatch Logs | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
僅限檢視使用者任務角色
AWS 受管政策名稱:ViewOnlyAccess
使用案例:此使用者可以檢視 帳戶中跨 服務 AWS 的資源和基本中繼資料清單。使用者無法讀取超出配額的資源內容或中繼資料,以及列出資源的資訊。
政策更新: AWS 維護和更新此政策。如需此政策的變更記錄,請在 IAM 主控台中檢視政策,然後選擇 Policy versions (政策版本) 索引標籤。如需有關任務角色政策更新的詳細資訊,請參閱 任務函數的 AWS 受管政策更新。
政策描述:此政策會授予 List*、View*、、 Describe* Get*和 AWS 服務資源的Lookup*存取權。若要查看此政策針對每個服務包含哪些動作,請參閱 ViewOnlyAccess
任務函數的 AWS 受管政策更新
這些政策都由 維護, AWS 並保持最新狀態,在 AWS 服務新增時包含對新服務和新功能的支援。這些政策無法由客戶修改。您可以複製政策,然後修改副本,但該副本不會自動更新,因為 AWS 引入新的服務和 API 操作。
對於任務角色政策,您可以在 IAM 主控台中檢視版本歷程記錄,以及每次更新的時間和日期。若要執行此操作,請使用此頁面上的連結來檢視政策詳細資訊。然後選擇 Policy versions (政策版本) 索引標籤以檢視版本。此頁面會顯示政策的最近 25 個版本。若要檢視政策的所有版本,請呼叫 get-policy-version AWS CLI 命令或 GetPolicyVersion API 操作。
注意
您最多可以有五個版本的客戶受管政策,但 會 AWS 保留受 AWS 管政策的完整版本歷史記錄。
