新增和移除 IAM 身分許可

焦點模式

新增和移除 IAM 身分許可 - AWS Identity and Access Management

術語檢視身分活動新增 IAM 身分許可 (主控台)移除 IAM 身分許可 (主控台)新增 IAM 政策 (AWS CLI)移除 IAM 政策 (AWS CLI)新增 IAM 政策 (AWS API)移除 IAM 政策 (AWS API)

您可以使用政策來定義身分 (使用者、使用者群組或角色) 的許可。您可以透過使用 AWS Management Console、AWS Command Line Interface (AWS CLI) 或是 AWS API，連接和分開身分的 IAM 政策來新增和移除許可。您也可以使用相同的方法，利用政策來設定僅適用於實體 (使用者或角色) 的許可界限。許可界限是進階 AWS 功能，其可控制一個實體可擁有的最大許可。

術語

當您將許可政策與身分 (IAM 使用者、IAM 群組和 IAM 角色) 相關聯時，術語和程序會有所不同，具體取決於您使用的是受管政策或內嵌政策：

連接 – 與受管政策一起使用。您將受管政策連接到身分 (使用者、使用者群組或角色)。將在政策中套用許可的政策連接到身分。
Detach (分開) – 與受管政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 分開受管政策。分開政策會從身分中移除其許可。
嵌入 – 與內嵌政策一起使用。在身分中嵌入內嵌政策 (使用者、使用者群組或角色)。將在政策中套用許可的政策嵌入到身分。因為內嵌政策儲存在身分中，所以它是嵌入的而不是連接的，儘管結果是相似的。

注意
您只能將服務相關角色的內嵌政策嵌入依賴該角色的服務。請參閱服務的 AWS 文件，確認是否支援此功能。
刪除 – 與內嵌政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 刪除內嵌政策。刪除政策會從身分中移除其許可。

注意
您只能在依賴於角色的服務中刪除服務連結角色的內嵌政策。請參閱服務的 AWS 文件，確認是否支援此功能。

您可以使用主控台、AWS CLI 或 AWS API 來執行任何這些動作。

其他資訊

如需有關受管與內嵌政策之間的差異的詳細資訊，請參閱受管政策與內嵌政策。
如需有關許可界限的詳細資訊，請參閱 IAM 實體的許可界限。
如需有關 IAM 政策的一般資訊，請參閱 AWS Identity and Access Management 中的政策和許可。
如需有關驗證 IAM 政策的資訊，請參閱 IAM 政策驗證。
AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊，請參閱 IAM AWS STS 和配額。

檢視身分活動

變更身分 (使用者、使用者群組或角色) 的許可之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 AWS 使用上次存取的資訊在中縮小許可範圍。

新增 IAM 身分許可 (主控台)

您可以使用 AWS Management Console 來將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作，連接可控制許可的受管政策，或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做身分的許可政策來使用 (主控台)

登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇政策。
在政策清單中，選取要連接的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。
選擇 Actions (動作)，然後選擇 Attach (連接)。
選取一或多個身分以將政策連接到。您可使用搜尋方塊來篩選主體實體清單。在選取身分後，選擇 Attach policy (連接政策)。

使用受管政策設定許可界限 (主控台)

登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇 Policies (政策)。
在政策清單中，選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
在政策詳細資訊頁面上，選擇連接的實體索引標籤，然後在必要時，開啟作為許可界限連接區段，然後選擇將該政策設定為許可界限。
選擇一或多個要套用許可界限政策的使用者或角色。您可使用搜尋方塊來篩選主體實體清單。選取主體之後，選擇設定許可界限。

為使用者或角色嵌入內嵌政策 (主控台)

簽署 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在服務導覽窗格中，選擇 Users (使用者) 或者 Roles (角色)。
在清單中，選擇要內嵌政策的使用者或角色的名稱。
選擇許可索引標籤標籤。
選擇新增許可，然後選擇建立內嵌政策。

注意
您不能在 IAM 中的服務連結的角色中嵌入內嵌政策。由於連結服務定義您是否可以修改角色的許可，因此您可以從服務主控台、API 或 AWS CLI 新增額外的政策。若要查看服務的服務連結角色文件，請參閱 AWS 使用 IAM 的服務並在服務的 服務連結角色欄位中選擇 Yes (是)。
選擇下列其中一種方法來檢視建立政策所需的步驟：
- 匯入現有的受管政策 – 您可以將受管政策匯入帳戶內，然後編輯該政策以依據您的特定要求自訂內容。受管政策可以是 AWS 受管政策或者您之前建立的客戶受管政策。
- 使用視覺化編輯器來建立政策 – 您可以在視覺編輯工具中從零開始建構一個新的政策。若您使用視覺化編輯器，您便無需了解 JSON 語法。
- 正在使用 JSON 編輯器建立政策 – 在 JSON 編輯器選項中，您可以使用 JSON 語法來建立政策。您可以輸入新的 JSON 政策文件或者貼上範例政策。
在您建立內嵌政策後，它會自動嵌入您的使用者或角色中。

為使用者群組嵌入內嵌政策 (主控台)

簽署 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇 User groups (使用者群組)。
在清單中，選擇要內嵌政策的使用者群組名稱。
選擇 Permissions (許可) 標籤，選擇 Add permissions (新增許可)，然後選擇 Attach policy (連接政策)。
執行以下任意一項：
- 選擇視覺化選項，可建立政策。如需詳細資訊，請參閱使用視覺化編輯器來建立政策。
- 選擇 JSON 選項，可建立政策。如需詳細資訊，請參閱正在使用 JSON 編輯器建立政策。
當您滿意時，選擇 建立政策。

變更一或多個實體的許可界限 (主控台)

登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇 Policies (政策)。
在政策清單中，選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
在政策詳細資訊頁面上，選擇連接的實體索引標籤，然後在必要時，開啟作為許可界限連接區段。選取您想要變更其界限的使用者或角色旁的核取方塊，然後選擇變更。
選取用於許可界限新政策。您可以使用搜尋方塊來篩選政策清單。在選取政策後，選擇設定許可界限。

移除 IAM 身分許可 (主控台)

您可以使用 AWS Management Console 來將許可從身分 (使用者、使用者群組或角色) 中移除。若要執行此操作，請分開可控制許可的受管政策，或移除可做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (主控台)

登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇政策。
在政策清單中，選取要分開的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。
選擇 Actions (動作)，然後選擇 Detach (分開)。
選取要從中分開政策的身分。您可以使用搜尋方塊來篩選身分清單。在選取身分後，選擇 Detach policy (分開政策)。

移除許可界限 (主控台)

登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在導覽窗格中，選擇 Policies (政策)。
在政策清單中，選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。
在政策摘要頁面上，選擇連接的實體索引標籤，然後在必要時，開啟作為許可界限連接區段，接著選擇要從中移除許可界限的實體。然後選擇移除界限。
確認您想要移除界限，然後選擇移除界限。

刪除內嵌政策 (主控台)

簽署 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。
在服務導覽窗格中，選擇 User groups (使用者群組)、Users (使用者) 或者 Roles (角色)。
在清單中，選擇包含要刪除的政策的使用者群組、使用者、或角色的名稱。
選擇 Permissions (許可) 標籤。
選取政策旁的核取方塊，然後選擇移除。
在確認方塊中，選擇移除。

新增 IAM 政策 (AWS CLI)

您可以使用 AWS CLI 來將許可新增至身分 (使用者、使用者群組或角色)。若要執行此操作，連接可控制許可的受管政策，或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做實體的許可政策來使用 (AWS CLI)

(選用) 若要檢視受管政策的相關資訊，請執行下列命令：
- 列出受管政策：aws iam list-policies
- 取得關於受管政策的詳細資訊：get-policy
若要將受管政策連接到身分 (使用者、使用者群組或角色)，請使用下列其中一項命令：

使用受管政策設定許可界限 (AWS CLI)

(選用) 若要檢視受管政策的相關資訊，請執行下列命令：
- 列出受管政策：aws iam list-policies
- 取得關於受管政策的詳細資訊：aws iam get-policy
若要使用受管政策來為實體 (使用者或角色) 設定許可界限，請使用下列其中一個命令：
- aws iam put-user-permissions-boundary
- aws iam put-role-permissions-boundary

嵌入內嵌政策 (AWS CLI)

若要將內嵌政策嵌入到身分 (非服務連結角色的使用者、使用者群組或角色)，請使用下列命令：

移除 IAM 政策 (AWS CLI)

您可以使用 AWS CLI，分開負責控制許可的受管政策，或移除做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (AWS CLI)

(選用) 若要檢視關於政策的資訊，請執行下列命令：
- 列出受管政策：aws iam list-policies
- 取得關於受管政策的詳細資訊：aws iam get-policy
(選用) 如果要了解的政策和身分之間的關係，請執行下列命令：
- 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色)：
  - aws iam list-entities-for-policy
- 若要列出連接到身分的受管政策 (使用者、使用者群組或角色)，請使用下列其中一項命令：
若要從身分中分開受管政策 (使用者、使用者群組或角色)，請使用下列其中一項命令：

移除許可界限 (AWS CLI)

(選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限，請執行下列命令：
- aws iam get-user
- aws iam get-role
(選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限，請執行下列命令：
- aws iam list-entities-for-policy
(選用) 若要檢視受管政策的相關資訊，請執行下列命令：
- 列出受管政策：aws iam list-policies
- 取得關於受管政策的詳細資訊：aws iam get-policy
若要從使用者或角色移除許可界限，請使用下列其中一個命令：
- aws iam delete-user-permissions-boundary
- aws iam delete-role-permissions-boundary

若要刪除內嵌政策 (AWS CLI)

(選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策，請使用下列其中一項命令：
(選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件，請使用下列其中一項命令：
若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色)，請使用下列命令：

新增 IAM 政策 (AWS API)

您可以使用 AWS API，來連接可控制許可的受管政策，或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做實體的許可政策來使用 (AWS API)

(選用) 若要檢視關於政策的資訊，請呼叫下列操作：
- 列出受管政策：ListPolicies
- 取得關於受管政策的詳細資訊：GetPolicy
若要將受管政策連接到身分 (使用者、使用者群組或角色)，請呼叫下列其中一項操作：

使用受管政策設定許可界限 (AWS API)

(選用) 若要檢視受管政策的相關資訊，請呼叫下列操作：
- 列出受管政策：ListPolicies
- 取得關於受管政策的詳細資訊：GetPolicy
若要使用受管政策來為實體 (使用者或角色) 設定許可界限，請呼叫下列其中一個操作：
- PutUserPermissionsBoundary
- PutRolePermissionsBoundary

嵌入內嵌政策 (AWS API)

若要將內嵌政策嵌入在身分 (非服務連結角色的使用者、使用者群組或角色)，請呼叫下列操作：

移除 IAM 政策 (AWS API)

您可以使用 AWS API，分開負責控制許可的受管政策，或移除做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (AWS API)

(選用) 若要檢視關於政策的資訊，請呼叫下列操作：
- 列出受管政策：ListPolicies
- 取得關於受管政策的詳細資訊：GetPolicy
(選用) 如果要了解的政策和身分之間的關係，請呼叫下列操作：
- 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色)：
  - ListEntitiesForPolicy
- 若要列出連接到身分的受管政策 (使用者、使用者群組或角色)，請呼叫下列其中一項操作：
若要從身分中分開受管政策 (使用者、使用者群組或角色)，請呼叫下列其中一項操作：

移除許可界限 (AWS API)

(選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限，請呼叫下列操作：
- GetUser
- GetRole
(選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限，請呼叫下列操作：
- ListEntitiesForPolicy
(選用) 若要檢視受管政策的相關資訊，請呼叫下列操作：
- 列出受管政策：ListPolicies
- 取得關於受管政策的詳細資訊：GetPolicy
若要從使用者或角色移除許可界限，請呼叫下列其中一個操作：
- DeleteUserPermissionsBoundary
- DeleteRolePermissionsBoundary

若要刪除內嵌政策 (AWS API)

(選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策，請呼叫下列其中一項操作：
(選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件，請呼叫下列其中一項操作：
若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色)，請呼叫下列操作：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

政策測試

版本控制 IAM 政策

在本頁面

選取您的 Cookie 偏好設定