受管政策與內嵌政策 - AWS Identity and Access Management
AWS 受管政策客戶受管政策內嵌政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

受管政策與內嵌政策

當您在 中設定身分的許可時IAM,您必須決定是否使用 AWS 受管政策、客戶受管政策或內嵌政策。以下幾個主題提供了有關每個類型的身分型政策以及使用時機的更多資訊。

主題

AWS 受管政策

「AWS 受管政策」為獨立的政策,由 AWS建立並管理。獨立政策表示該政策擁有自己的 Amazon Resource Name (ARN),其中包含政策名稱。例如, arn:aws:iam::aws:policy/IAMReadOnlyAccess 是 AWS 受管政策。如需 的詳細資訊ARNs,請參閱 IAM ARNs。如需 受 AWS 管政策的清單 AWS 服務,請參閱 AWS 受管政策

AWS 受管政策可讓您方便地將適當的許可指派給使用者、IAM群組和角色。這比您自己撰寫政策更快,並且包含常見使用案例的許可。

您無法變更 AWS 受管政策中定義的許可。 AWS 偶爾會更新 AWS 受管政策中定義的許可。當 AWS 這樣做時,更新會影響政策連接的所有主體實體 (IAM使用者、IAM群組和IAM角色)。 AWS 最有可能在啟動新 AWS 服務或現有服務有新API呼叫時更新 AWS 受管政策。例如,名為 的 AWS 受管政策ReadOnlyAccess提供所有 AWS 服務 和資源的唯讀存取權。 AWS 啟動新服務時, 會 AWS 更新ReadOnlyAccess政策,以新增新服務的唯讀許可。更新的許可會套用於政策連接到的所有主體實體。

完整存取 AWS 受管政策 :這些政策透過授予服務的完整存取權來定義服務管理員的許可。範例包括:

電源使用者 AWS 受管政策 :這些政策提供對 AWS 服務 和資源的完整存取權,但不允許管理使用者和IAM群組。範例包括:

部分存取 AWS 受管政策 :這些政策提供對 的特定存取層級, AWS 服務 而不允許許可管理存取層級許可。範例包括:

任務函數 AWS 受管政策 :這些政策與 IT 產業中常用的任務函數密切一致,並有助於授予這些任務函數的許可。使用任務函數政策的一個主要優點是,當引進新的服務和API操作 AWS 時, 會維護和更新這些政策。例如,AdministratorAccess任務函數會針對 中的每個服務和資源提供完整存取和許可委派 AWS。我們建議僅將此政策用於帳戶管理員。對於需要完整存取每項服務的進階使用者,除了對 IAM和 Organizations 的有限存取之外,請使用 PowerUserAccess 任務函數。如需有關工作職能政策的清單和說明,請參閱AWS 受管理的工作職能政策

下圖說明 AWS 受管政策。圖表顯示三個 AWS 受管政策:AdministratorAccessPowerUserAccessAWS CloudTrail_ReadOnlyAccess。請注意,單一 AWS 受管政策可以連接到不同 中的主體實體 AWS 帳戶,也可以連接到單一 中的不同主體實體 AWS 帳戶。

AWS 受管政策圖表

客戶受管政策

您可以自行建立獨立政策 AWS 帳戶 ,以連接至主體實體 (IAM使用者、IAM群組和IAM角色)。您可以針對特定使用案例建立這些客戶管理政策,並且可以隨時進行變更和更新。與 AWS 受管政策相同,當您將政策連接至主體實體時,您會為實體提供政策中定義的許可。更新政策中的許可時,變更會套用於政策連接到的所有主體實體。

建立客戶管理政策的理想方式是從複製一個現有 AWS 受管政策開始。這樣從一開始您就可以確信政策是正確的,只需根據您的環境進行自訂即可。

下圖說明客戶管理政策。每個政策都是 中的實體,IAM其自己的 Amazon Resource Name (ARN) 包含政策名稱。請注意,相同的政策可以連接至多個主體實體,例如,相同的 DynamoDB -books-app 政策會連接至兩個不同的IAM角色。

如需詳細資訊,請參閱 使用客戶管理的政策定義自訂IAM權限

客戶受管政策示意圖

內嵌政策

內嵌政策是為單一IAM身分 (使用者、使用者群組或角色) 建立的政策。內嵌政策在政策與身分之間維持嚴格的 one-to-one關係。當您刪除身分時,它們即會被刪除。在建立身分時或在建立之後,您可以建立政策並將其嵌入身分。如果政策可套用至多個實體,最好使用受管政策。

下圖說明內嵌政策。每個政策都是使用者、組或角色的固有部分。請注意,兩個角色包含同一政策 (DynamoDB-books-app 政策),但是它們不共用單一政策。每個角色都有自己的政策複本。

內嵌政策示意圖