本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS 受管理的工作職能政策

我們建議使用授予最低權限的政策，或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的自訂政策。您必須建立程序，以允許您的團隊在必要時要求更多許可。建立IAM客戶管理的政策需要時間和專業知識，以便為您的團隊提供他們所需的權限。

若要開始將權限新增至您的IAM身分 (使用者、使用者群組和角色)，您可以使用AWS 受管政策。 AWS 受管政策涵蓋常見使用案例，並可在您的 AWS 帳戶. AWS 受管理的政策不會授與最低權限。若授予主體的許可超出執行任務所需的許可，您必須考量其相關的安全性風險。

您可以將 AWS 受管理的原則 (包括工作職能) 附加至任何IAM身分識別。若要切換到最低權限權限，您可以執行 AWS Identity and Access Management 存取分析器來監視具有 AWS 受管理原則的主體。了解他們正在使用哪些許可後，您可以撰寫自訂政策或產生僅具有團隊所需許可的政策。這不太安全，但是當您了解團隊的使用方式時，會提供更大的靈活性 AWS。

AWS 工作職能的管理政策旨在緊密配合 IT 行業的常見工作職能。您可以使用這些政策來授予執行特定任務角色中的某人所預期的任務所需的許可權。這些政策將許多服務的許可整合到單一政策，以便更輕鬆地使用分散在許多政策中的許可。

使用角色來結合服務

某些原則會使用IAM服務角色來協助您利用其他 AWS 服務中的功能。這些策略授與存取權iam:passrole，允許具有該策略的使用者將角色傳遞給 AWS 服務。此角色會將IAM權限委派給 AWS 服務，以代表您執行動作。

您必須根據您的需求建立角色。例如，網路管理員政策允許具有該政策的使用者將名為 "flow-logs-vpc" 的角色傳遞給 Amazon CloudWatch 服務。 CloudWatch 使用該角色來記錄和捕獲用戶VPCs創建的 IP 流量。

為了遵守安全性最佳實務，工作職能的政策包含篩選條件，其會限制可傳遞的有效角色的名稱。這有助於避免授予不必要的許可。如果您的使用者確實選用的服務角色，則您必須建立遵照政策中指定的命名慣例的角色。然後，將許可授予角色。完成後，使用者就可以設定服務以使用角色，授予它角色提供的許可。

在以下區段，每個政策的名稱是連到 AWS Management Console中政策詳細資訊頁面的連結。您可以在那裡查看政策文件並檢閱其授予的許可。

管理員任務角色

AWS 受管理的策略名稱：AdministratorAccess

使用案例：此使用者具有完整的存取權，可委派許可給 AWS中的每個服務和資源。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

策略說明：此策略會授與帳號中所有 AWS 服務和所有資源的所有動作。如需有關受管理策略的詳細資訊，請參閱AdministratorAccess受AWS 管理策略參考指南中的。

帳單任務角色

AWS 受管理的策略名稱：帳單

使用案例：此使用者需要檢視帳單資訊、設定付款和授權付款。用戶可以監控整個 AWS 服務累積的成本。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策描述：此政策授予完整許可，以管理帳單、成本、付款方法、預算和報告。如需其他成本管理政策範例，請參閱AWS Billing and Cost Management 使用者指南中的AWS Billing 政策範例。如需受管政策的詳細資訊，請參閱受AWS 管理政策參考指南中的計費。

資料庫管理員任務角色

AWS 受管理的策略名稱：DatabaseAdministrator

使用案例：此使用者在 Cloud 中設定、設定和維護資料庫。 AWS

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策描述：此政策授予許可，以建立、設定和維護資料庫。它包括對 AWS 資料庫服務的存取，例如 Amazon DynamoDB、Amazon Relational Database Service 服務 (RDS) 和 Amazon Redshift。查看政策以了解此政策支援之資料庫服務的完整清單。如需有關受管理策略的詳細資訊，請參閱DatabaseAdministrator受AWS 管理策略參考指南中的。

此工作職能原則支援將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊，請參閱本主題稍後的 建立角色和連接政策 (主控台)。

資料科學家任務角色

AWS 受管理的策略名稱：DataScientist

使用案例：此使用者執行 Hadoop 工作和查詢。使用者也會存取和分析資料分析和商業智慧的資訊。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策說明：此政策授予在 Amazon EMR 叢集上建立、管理和執行查詢的許可，以及使用 Amazon 等工具執行資料分析 QuickSight。該政策包括訪問其他數據科學家服務 AWS Data Pipeline，例如 AmazonEC2，Amazon Kinesis，Amazon Machine Learning 和 SageMaker. 查看政策以了解此政策支援之資料科學家服務的完整清單。如需有關受管理策略的詳細資訊，請參閱DataScientist受AWS 管理策略參考指南中的。

此工作職能原則支援將角色傳遞給 AWS 服務的能力。一個語句允許傳遞任何角色 SageMaker。另外一個陳述式只針對下表中所命名的那些角色允許 iam:PassRole 動作。如需詳細資訊，請參閱本主題稍後的 建立角色和連接政策 (主控台)。

開發人員進階使用者任務角色

AWS 受管理的策略名稱：PowerUserAccess

使用案例：此使用者執行應用程式開發工作，並可建立和設定支援 AWS 感知應用程式開發的資源和服務。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

原則說明：此原則的第一個陳述式會使用NotAction元素來允許所有 AWS 服務及除 AWS Identity and Access Management、 AWS Organizations和以外的所有資源執行所有動作 AWS Account Management。第二個陳述式會IAM授與建立服務連結角色的權限。如果某些服務必須存取其他服務中的資源 (例如 Amazon S3 儲存貯體)，則這是必要的。它也會授予可檢視使用者組織相關資訊的 Organizations 許可，包括管理帳戶電子郵件和組織限制。雖然此原則會限制 IAM「Organizations」，但如果啟用了IAM身分識別中心，則允許使用者執行所有IAM身分識別中心動作。它也會授與帳戶管理權限，以檢視帳戶已啟用或停用哪些 AWS 區域。

網路管理員任務角色

AWS 受管理的策略名稱：NetworkAdministrator

使用案例：此使用者的任務是設定和維護 AWS 網路資源。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策說明：此政策授予在 Auto Scaling、Amazon、路線 53、亞馬遜EC2 AWS Direct Connect、Elastic Load Balancing、 CloudFront、亞馬遜、 CloudWatch 日誌 AWS Elastic Beanstalk SNS CloudWatch、Amazon Amazon S3 和 Amazon 虛擬私有雲中建立和維護網路資源的許可。IAM如需有關受管理策略的詳細資訊，請參閱NetworkAdministrator受AWS 管理策略參考指南中的。

此工作功能需要將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole：如需詳細資訊，請參閱本主題後面部分的 建立角色和連接政策 (主控台)。

唯讀存取

AWS 受管理的策略名稱：ReadOnlyAccess

使用案例:此使用者需要對 AWS 帳戶中的每個資源進行唯讀存取。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策說明：此政策會授予列出、取得、描述及檢視資源及其屬性的許可。不包括像建立或刪除變動職能。此原則確實包含對安全性相關 AWS 服務的唯讀存取權，例如 AWS Identity and Access Management 和。 AWS Billing and Cost Management查看政策以了解此政策支援之服務和動作的完整清單。

安全稽核人員任務角色

AWS 受管理的策略名稱：SecurityAudit

使用案例：此使用者監控帳戶是否符合安全需求。這個使用者可以存取日誌和事件，以調查潛在安全漏洞或潛在惡意活動。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

原則說明：此原則授與檢視許多 AWS 服務之組態資料及檢閱其記錄檔的權限。如需有關受管理策略的詳細資訊，請參閱SecurityAudit受AWS 管理策略參考指南中的。

支援使用者任務角色

AWS 受管理的策略名稱：SupportUser

使用案例：此使用者連絡 Sup AWS port 部門、建立支援案例，並檢視現有案例的狀態。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

原則說明：此原則授與建立和更新 AWS Support 案例的權限。如需有關受管理策略的詳細資訊，請參閱SupportUser受AWS 管理策略參考指南中的。

系統管理員任務角色

AWS 受管理的策略名稱：SystemAdministrator

使用案例：此使用者為開發操作設定和維護資源。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

政策說明：此政策授予跨多種 AWS 服務建立和維護資源的許可 AWS CloudTrail，包括 Amazon CloudWatch AWS CodeCommit、、 AWS CodeDeploy、 AWS Config、Amazon AWS Directory Service、EC2、、 AWS Identity and Access Management、 AWS Key Management Service、Amazon AWS Lambda RDS、Route 53、Amazon S3、Amazon、Amazon SES SQS AWS Trusted Advisor、亞馬遜和亞馬遜VPC。如需有關受管理策略的詳細資訊，請參閱SystemAdministrator受AWS 管理策略參考指南中的。

此工作功能需要將角色傳遞給 AWS 服務的能力。政策只針對下表中所命名的那些角色授予 iam:GetRole 和 iam:PassRole：如需詳細資訊，請參閱本主題後面部分的 建立角色和連接政策 (主控台)。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

僅限檢視使用者任務角色

AWS 受管理的策略名稱：ViewOnlyAccess

使用案例：此使用者可以跨服務檢視帳戶中的 AWS 資源清單和基本中繼資料。使用者無法讀取超出配額的資源內容或中繼資料，以及列出資源的資訊。

策略更新： AWS 維護和更新此策略。如需此原則的變更歷程記錄，請在IAM主控台中檢視原則，然後選擇 [原則版本] 索引標籤。如需有關任務角色政策更新的詳細資訊，請參閱 更新工作職能的 AWS 受管理原則。

原則說明：此原則會授List*與 AWS 服務資源Get*View*、、和Lookup*存取權。Describe*若要查看此政策針對每個服務包含哪些動作，請參閱ViewOnlyAccess。如需有關受管理策略的詳細資訊，請參閱ViewOnlyAccess受AWS 管理策略參考指南中的。

更新工作職能的 AWS 受管理原則

這些政策都由維護 AWS 並保持最新狀態，以包括對新服務和新功能的支持，因為它們是由 AWS 服務添加。這些政策無法由客戶修改。您可以製作策略的副本，然後修改副本，但該副本不會隨著 AWS 引入新的服務和API操作而自動更新。

對於工作功能原則，您可以在IAM主控台中檢視版本歷程記錄以及每個更新的時間和日期。若要執行此操作，請使用此頁面上的連結來檢視政策詳細資訊。然後選擇 Policy versions (政策版本) 索引標籤以檢視版本。此頁面會顯示政策的最近 25 個版本。若要檢視原則的所有版本，請呼叫命get-policy-version AWS CLI 令或GetPolicyVersionAPI作業。