新增和移除 IAM 身分許可 - AWS Identity and Access Management
術語檢視身分活動新增 IAM 身分許可 (主控台)移除 IAM 身分許可 (主控台)新增 IAM 政策 (AWS CLI)移除 IAM 政策 (AWS CLI)新增身分與存取權管理政策AWS移除身分與存取權管理政策AWS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增和移除 IAM 身分許可

您可以使用政策來定義身分 (使用者、使用者群組或角色) 的許可。您可以使用、 AWS Command Line Interface (AWS CLI) 或 AWS API 為身分附加和卸離 IAM 政策 AWS Management Console,以新增和移除許可。您也可以使用相同的方法,利用政策來設定僅適用於實體 (使用者或角色) 的許可界限。權限界限是一 AWS 項進階功能,可控制實體可擁有的最大權限。

術語

當您將許可政策與身分 (使用者、使用者群組和角色) 相關聯時,術語和程序會有所不同,具體取決於您使用的是受管政策或內嵌政策:

  • 連接 – 與受管政策一起使用。您將受管政策連接到身分 (使用者、使用者群組或角色)。將在政策中套用許可的政策連接到身分。

  • Detach (分開) – 與受管政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 分開受管政策。分開政策會從身分中移除其許可。

  • 嵌入 – 與內嵌政策一起使用。在身分中嵌入內嵌政策 (使用者、使用者群組或角色)。將在政策中套用許可的政策嵌入到身分。因為內嵌政策儲存在身分中,所以它是嵌入的而不是連接的,儘管結果是相似的。

    注意

    您只能將服務相關角色的內嵌政策嵌入依賴該角色的服務。請參閱服務的 AWS 文件,確認是否支援此功能。

  • 刪除 – 與內嵌政策一起使用。您從 IAM 身分 (使用者、使用者群組或角色) 刪除內嵌政策。刪除政策會從身分中移除其許可。

    注意

    您只能在依賴於角色的服務中刪除服務連結角色的內嵌政策。請參閱服務的 AWS 文件,確認是否支援此功能。

您可以使用主控 AWS CLI台或 AWS API 來執行上述任何動作。

其他資訊

檢視身分活動

變更身分 (使用者、使用者群組或角色) 的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 AWS 使用上次存取的資訊精簡權限

新增 IAM 身分許可 (主控台)

您可以使用將權限新增 AWS Management Console 至身分識別 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做身分的許可政策來使用 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇政策

  3. 在政策清單中,選取要連接的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Actions (動作),然後選擇 Attach (連接)。

  5. 選取一或多個身分以將政策連接到。您可使用搜尋方塊來篩選主體實體清單。在選取身分後,選擇 Attach policy (連接政策)

使用受管政策設定許可界限 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策詳細資訊頁面上,選擇連接的實體索引標籤,然後在必要時,開啟作為許可界限連接區段,然後選擇將該政策設定為許可界限

  5. 選擇一或多個要套用許可界限政策的使用者或角色。您可使用搜尋方塊來篩選主體實體清單。選取主體之後,選擇設定許可界限

為使用者或角色嵌入內嵌政策 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在服務導覽窗格中,選擇 Users (使用者) 或者 Roles (角色)

  3. 在清單中,選擇要內嵌政策的使用者或角色的名稱。

  4. 選擇許可索引標籤標籤。

  5. 選擇新增許可,然後選擇建立內嵌政策

    注意

    您不能在 IAM 中的服務連結的角色中嵌入內嵌政策。由於連結服務定義您是否可以修改角色的許可,因此您可以從服務主控台、API 或 AWS CLI新增額外的政策。若要查看服務的服務連結角色文件,請參閱 AWS 與 IAM 搭配使用的服務 並在服務的 服務連結角色欄位中選擇 Yes (是)

  6. 選擇下列其中一種方法來檢視建立政策所需的步驟:

    • 匯入現有的受管政策 – 您可以將受管政策匯入帳戶內,然後編輯該政策以依據您的特定要求自訂內容。受管政策可以是 AWS 受管理策略或您先前建立的客戶管理策略。

    • 使用視覺化編輯器來建立政策 – 您可以在視覺編輯工具中從零開始建構一個新的政策。若您使用視覺化編輯器,您便無需了解 JSON 語法。

    • 正在使用 JSON 編輯器建立政策 – 在 JSON 編輯器選項中,您可以使用 JSON 語法來建立政策。您可以輸入新的 JSON 政策文件或者貼上範例政策

  7. 在您建立內嵌政策後,它會自動嵌入您的使用者或角色中。

為使用者群組嵌入內嵌政策 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 User groups (使用者群組)。

  3. 在清單中,選擇要內嵌政策的使用者群組名稱。

  4. 選擇 Permissions (許可) 標籤,選擇 Add permissions (新增許可),然後選擇 Attach policy (連接政策)。

  5. 執行以下任意一項:

  6. 當您滿意時,選擇 建立政策

變更一或多個實體的許可界限 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策詳細資訊頁面上,選擇連接的實體索引標籤,然後在必要時,開啟作為許可界限連接區段。選取您想要變更其界限的使用者或角色旁的核取方塊,然後選擇變更

  5. 選取用於許可界限新政策。您可以使用搜尋方塊來篩選政策清單。在選取政策後,選擇設定許可界限

移除 IAM 身分許可 (主控台)

您可以使用 AWS Management Console 從身分識別 (使用者、使用者群組或角色) 移除權限。若要執行此操作,請分開可控制許可的受管政策,或移除可做為許可界限的政策。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇政策

  3. 在政策清單中,選取要分開的政策名稱旁的選項按鈕。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇 Actions (動作),然後選擇 Detach (分開)。

  5. 選取要從中分開政策的身分。您可以使用搜尋方塊來篩選身分清單。在選取身分後,選擇 Detach policy (分開政策)

移除許可界限 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 在政策清單中,選擇要設定的政策名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 在政策摘要頁面上,選擇連接的實體索引標籤,然後在必要時,開啟作為許可界限連接區段,接著選擇要從中移除許可界限的實體。然後選擇移除界限

  5. 確認您想要移除界限,然後選擇移除界限

刪除內嵌政策 (主控台)

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在服務導覽窗格中,選擇 User groups (使用者群組)、Users (使用者) 或者 Roles (角色)。

  3. 在清單中,選擇包含要刪除的政策的使用者群組、使用者、或角色的名稱。

  4. 選擇 Permissions (許可) 標籤。

  5. 選取政策旁的核取方塊,然後選擇移除

  6. 在確認方塊中,選擇移除

新增 IAM 政策 (AWS CLI)

您可以使用將權限新增 AWS CLI 至身分識別 (使用者、使用者群組或角色)。若要執行此操作,連接可控制許可的受管政策,或指定可做為許可界限的政策。您也可以嵌入內嵌政策。

將受管政策當做實體的許可政策來使用 (AWS CLI)

  1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  2. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請使用下列其中一項命令:

使用受管政策設定許可界限 (AWS CLI)

  1. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  2. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請使用下列其中一個命令:

嵌入內嵌政策 (AWS CLI)

若要將內嵌政策嵌入到身分 (非服務連結角色的使用者、使用者群組或角色),請使用下列命令:

移除 IAM 政策 (AWS CLI)

您可以使用中斷 AWS CLI 連結控制權限的受管理策略,或移除做為權限界限的策略。您也可以刪除內嵌政策。

中斷連結當做許可政策來使用的受管政策 (AWS CLI)

  1. (選用) 若要檢視關於政策的資訊,請執行下列命令:

  2. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:

  3. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請使用下列其中一項命令:

移除許可界限 (AWS CLI)

  1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請執行下列命令:

  2. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請執行下列命令:

  3. (選用) 若要檢視受管政策的相關資訊,請執行下列命令:

  4. 若要從使用者或角色移除許可界限,請使用下列其中一個命令:

若要刪除內嵌政策 (AWS CLI)

  1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請使用下列其中一項命令:

  2. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請使用下列其中一項命令:

  3. 若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色),請使用下列命令:

新增身分與存取權管理政策AWS

您可以使用 AWS API 來附加控制權限的受管理政策,或指定用作權限界限的策略。您也可以嵌入內嵌政策。

使用受管政策做為實體 (AWS API) 的權限原則

  1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:

    • 若要列出受管理的策略:ListPolicies

    • 如果要擷取有關受管理策略的詳細資訊:GetPolicy

  2. 若要將受管政策連接到身分 (使用者、使用者群組或角色),請呼叫下列其中一項操作:

使用受管政策設定權限界限 (AWS API)

  1. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:

    • 若要列出受管理的策略:ListPolicies

    • 如果要擷取有關受管理策略的詳細資訊:GetPolicy

  2. 若要使用受管政策來為實體 (使用者或角色) 設定許可界限,請呼叫下列其中一個操作:

內嵌內嵌政策 (AWS API)

若要將內嵌政策嵌入在身分 (非服務連結角色的使用者、使用者群組或角色),請呼叫下列操作:

移除身分與存取權管理政策AWS

您可以使用 AWS API 中斷連結控制權限的受管理政策,或移除做為權限界限的政策。您也可以刪除內嵌政策。

卸離用作權限原則 (AWS API) 的受管理政策

  1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:

    • 若要列出受管理的策略:ListPolicies

    • 如果要擷取有關受管理策略的詳細資訊:GetPolicy

  2. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:

  3. 若要從身分中分開受管政策 (使用者、使用者群組或角色),請呼叫下列其中一項操作:

若要移除權限界限 (AWS API)

  1. (選用) 若要檢視目前使用哪個受管政策來為使用者或角色設定許可界限,請呼叫下列操作:

  2. (選用) 若要檢視目前在哪些使用者或角色使用受管政策的許可界限,請呼叫下列操作:

  3. (選用) 若要檢視受管政策的相關資訊,請呼叫下列操作:

    • 若要列出受管理的策略:ListPolicies

    • 如果要擷取有關受管理策略的詳細資訊:GetPolicy

  4. 若要從使用者或角色移除許可界限,請呼叫下列其中一個操作:

若要刪除內嵌政策 (AWS API)

  1. (選用) 若要列出連接到身分 (使用者、使用者群組或角色) 的所有內嵌政策,請呼叫下列其中一項操作:

  2. (選用) 若要擷取嵌入到身分 (使用者、使用者群組或角色) 中的內嵌政策文件,請呼叫下列其中一項操作:

  3. 若要從身分中刪除內嵌政策 (非服務連結角色的使用者、使用者群組或角色),請呼叫下列操作: