基于访问活动生成策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

基于访问活动生成策略

作为管理员或开发人员,您可以向 IAM 实体(用户或角色)授予超出其需要的权限。IAM 提供了多个选项来帮助您优化授予的权限。一是生成基于实体访问活动的 IAM 策略。IAM Access Analyzer 检查 Amazon CloudTrail 日志并生成一个策略模板,其中包含实体在指定日期范围内使用的权限。您可以使用模板创建具有精细权限的策略,该策略仅授予支持特定使用案例所需的权限。

例如,假设您是一名开发人员,您的工程团队正在开发一个项目来创建新应用程序。为了鼓励实验并加快团队进度,您在应用程序开发过程中配置了具有广泛权限的角色。现在该应用程序已准备就绪,可投入生产。在应用程序可以在生产账户中启动之前,您希望仅确定角色需要为应用程序运行提供的权限。这可帮助您遵循授予最低权限的最佳实践。您可以根据开发账户中应用程序使用的角色的访问活动生成策略。您可以进一步优化生成的策略,然后将该策略附加到生产账户中的实体。

要了解有关 IAM Access Analyzer 策略生成的详情,请参阅 IAM Access Analyzer 策略生成