本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為最低權限許可做好準備 使用*最低權限許可*是 IAM 的最佳實務建議。最低權限許可的概念是指僅授與使用者執行任務所需的許可,而且無需額外許可。設定完成後,請思考支援最低權限許可的方式。根使用者、管理使用者和緊急存取 IAM 使用者擁有日常工作不需要的強大許可。當您了解 AWS 並測試不同的服務時,我們建議您在 IAM Identity Center 中建立至少一個額外的使用者,並具有較少的許可,您可以在不同的案例中使用。您可以使用 IAM 政策定義特定條件下可對特定資源採取的動作,然後透過權限較低的帳戶連結至這些資源。 如果您使用的是 IAM Identity Center,請考慮使用 IAM Identity Center 許可集來展開行動。若要了解詳情,請參閱《IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)。 如果您使用的不是 IAM Identity Center,請使用 IAM 角色為不同的 IAM 實體定義許可。如需詳細資訊,請參閱 [IAM 角色建立](id_roles_create.md)。 IAM 角色和 IAM Identity Center 許可集都可以根據任務函數使用 AWS 受管政策。如需這些政策所授與權限的詳細資訊,請參閱 [AWS 任務函數的 受管政策](access_policies_job-functions.md)。 **重要** 請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。完成設定後,建議您使用 IAM Access Analyzer 來根據記錄在 AWS CloudTrail的存取活動產生最低權限政策。如需政策產生的詳細資訊,請參閱 [IAM Access Analyzer 政策產生](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。 當您開始使用時,我們建議您使用 AWS 受管政策來授予許可。在過了預先定義的閒置期間 (例如 90 天) 後,您可以檢閱人員和工作負載存取過的服務。然後,您可以建立新的客戶受管政策,並降低取代 AWS 受管政策的許可。新的政策應僅包含範例期間內存取的服務。更新您的許可以移除 AWS 受管政策,並連接您建立的新客戶受管政策。