创建 IAM 策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建 IAM 策略

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。您可以使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 在 IAM 中创建客户托管策略。客户托管策略是您在自己的 Amazon 账户中管理的独立策略。然后,您可以将策略附加到 Amazon 账户中的身份(用户、组和角色)。

附加到 IAM 中的身份的策略称为基于身份的策略。基于身份的策略可以包括 Amazon 托管策略、客户托管策略和内联策略。Amazon 托管策略由 Amazon 创建和管理。您可以使用它们,但无法管理它们。内联策略是您创建并直接嵌入到 IAM 组、用户或角色的策略。内联策略不能在其他身份上重复使用,也不能在它们所存在的身份之外托管。有关更多信息,请参阅添加和删除 IAM 身份权限

作为最佳实践,请使用客户托管策略而不是内联策略。此外,最好使用客户托管策略而非 Amazon 托管策略。Amazon 托管策略通常提供广泛的管理权限或只读权限。为了获得最高安全性,请授予最低特权,即仅授予执行特定作业任务所需的权限。

当您创建或编辑 IAM 策略时,Amazon 可以自动执行策略验证,帮助您在考虑最低权限的情况下创建有效策略。在 Amazon Web Services Management Console 中,IAM 会识别 JSON 语法错误,同时 IAM Access Analyzer 会提供额外的策略检查以及建议,帮助您进一步优化策略。要了解有关策略验证的更多信息,请参阅验证 IAM 策略。要了解有关 IAM Access Analyzer 策略检查和切实可行的建议的更多信息,请参阅 IAM Access Analyzer 策略验证

您可以使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 在 IAM 中创建客户托管策略。