在托管策略与内联策略之间进行选择
在决定托管式策略和内联策略时,请考虑您的使用案例。在大多数情况下,我们建议使用托管策略而不是内联策略。
注意
您可以同时使用托管式策略和内联策略来定义主体实体的通用权限和唯一权限。
托管策略具备以下功能:
- 可重复使用性
-
单个托管策略可以附加到多个主体实体 (用户、组和角色)。您可以创建策略库,在库中定义对您的 Amazon Web Services 账户 有用的权限,然后根据需要将这些策略附加到主体实体。
- 集中变更管理
-
更改托管策略时,更改会应用于策略附加到的所有主体实体。例如,假设要为新的 Amazon API 添加权限,则可以通过更新客户管理型策略或关联 Amazon 托管式策略来添加权限。如果使用 Amazon 托管式策略,则 Amazon 会更新该策略。更新托管式策略时,更改会应用于附加了该托管式策略的所有主体实体。相比之下,要更改内联策略,则必须分别编辑包含该策略的每个身份。例如,如果一个组和一个角色都包含同一内联策略,则您必须分别编辑这两个主体实体来更改该策略。
- 版本控制和回滚
-
在更改客户托管策略时,更改的策略不会覆盖现有的策略。而是由 IAM 创建新的托管策略版本。IAM 最多可以存储五个版本的客户管理策略。您可以根据需要使用策略版本将策略还原为较早版本。
注意
策略版本与
Version策略元素不同。Version策略元素用在策略之中,用于定义策略语言的版本。要了解策略版本的更多信息,请参阅IAM policy 版本控制。要了解Version策略元素的更多信息,请参阅IAM JSON 策略元素:Version。 - 委派权限管理
-
您可以允许您 Amazon Web Services 账户 中的用户附加和分离策略,同时保持对这些策略中定义的权限的控制。为此,请将一些用户指定为完全管理员,即可以创建、更新和删除策略的管理员。然后,您可以将其他用户指定为受限管理员。这些受限制的管理员可以将策略附加到其他主体实体,但只能附加您允许他们附加的策略。
有关委派权限管理的更多信息,请参阅控制对策略的访问。
- 上调策略字符数限制
-
托管式策略的最大字符数限制大于内联策略的字符数限制。如果您已达到内联策略的字符数限制,则可以创建更多 IAM 组并将托管式策略附加到该组。
有关限额和限制的更多信息,请参阅 IAM 和 Amazon STS 配额。
- Amazon 托管策略的自动更新
-
Amazon 维护 Amazon 托管式策略并在需要时更新它们,例如,针对新 Amazon 服务添加权限,您不必进行更改。更新会自动应用于已附加了 Amazon 托管策略的主体实体。
使用内联策略
如果您要在策略与应用它的身份之间维持严格的一对一关系,则内联策略十分有用。例如,如果您需要确保策略中的权限不会无意中分配给预期身份之外的身份。使用内联策略时,策略中的权限不可能意外分配给错误的身份。此外,当您使用 Amazon Web Services Management Console 删除该身份时,嵌入在身份中的策略也会被删除,因为它们是主体实体的一部分。