AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

添加和删除 IAM 策略

您可以使用 AWS 管理控制台、AWS Command Line Interface (AWS CLI) 或 AWS API 将策略用作用户、组和角色的权限策略。您可以使用策略来仅为用户和角色设置权限边界。使用策略来设置权限边界以控制委托人可以具有的最大权限。权限边界是一项高级 AWS 功能。

术语

将权限策略与身份(用户、组和角色)相关联时,您可能会注意到术语和过程因您使用托管策略还是内联策略而异:

  • 附加 – 与托管策略一起使用。您将托管策略附加到身份(用户、组或角色)。如果附加一个策略,则会将该策略中的权限应用于身份。

  • 分离 – 与托管策略一起使用。您将托管策略与委托人实体(用户、组或角色)分离。如果分离一个策略,则会将其权限从委托人实体中删除。

  • 嵌入 – 与内联策略一起使用。您在身份(用户、组或角色)中嵌入内联策略。如果嵌入一个策略,则会将该策略中的权限应用于身份。由于内联策略存储在身份中,因此,将嵌入而不是附加该策略,尽管结果类似。

    注意

    您只能将服务相关角色的内联策略嵌入依赖该角色的服务。请参阅服务的 AWS 文档,了解它是否支持此功能。

  • 删除 – 与内联策略一起使用。您从委托人实体(用户、组或角色)删除内联策略。如果删除一个策略,则会将其权限从委托人实体中删除。

    注意

    您只能将服务相关角色的内联策略从依赖该角色的服务中删除。请参阅服务的 AWS 文档,了解它是否支持此功能。

您可以使用控制台、AWS CLI 或 AWS API 来执行这些任务中的任一任务。

更多信息

添加和删除 IAM 策略(控制台)

您可以使用 AWS 管理控制台附加或分离用作权限策略的托管策略,或者设置、更改或删除用于权限边界的策略。您还可以嵌入或删除内联策略。

将托管策略用作委托人的权限策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选中要附加的策略的名称旁边的复选框。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy actions,然后选择 Attach

  5. 选择一个或多个要将策略附加到的身份。您可以使用 Filter 菜单和搜索框来筛选委托人实体列表。在选择身份后,选择附加策略

使用托管策略设置权限边界(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要设置的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 在策略摘要页面上,选择策略用法选项卡,然后(如有必要)打开权限边界部分并选择设置边界

  5. 选择要将策略用于其权限边界的一个或多个用户或角色。您可以使用 Filter 菜单和搜索框来筛选委托人实体列表。选择委托人后,选择设置边界

为用户或角色嵌入内联策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择用户角色

  3. 在列表中,选择要在其中嵌入策略的用户或角色的名称。

  4. 选择 Permissions 选项卡。

  5. 滚动到页面底部并选择添加内联策略

    注意

    您不能在 IAM 中的服务相关角色中嵌入内联策略。由于链接服务定义了您是否能修改角色的权限,因此,您可能能够从服务控制台、API 或 AWS CLI 添加其他策略。要查看某个服务的服务相关角色文档,请参阅使用 IAM 的 AWS 服务并在您的服务的 Service-Linked Role 列中选择 Yes

  6. 选择以下方法之一来查看创建策略所需的步骤:

    • 导入现有托管策略 – 可以在您的账户中导入一个托管策略,然后编辑该策略以根据您的特定要求进行自定义。托管策略可以是 AWS 托管策略,也可以是您以前创建的客户托管策略。

    • 使用可视化编辑器创建策略 – 您可以在可视化编辑器中从头开始构建新的策略。如果使用可视化编辑器,您不需要了解 JSON 语法。

    • 在“JSON”选项卡上创建策略 – 在 JSON 选项卡上,您可以使用 JSON 语法创建策略。您可以键入新的 JSON 策略文档或粘贴示例策略

  7. 创建内联策略后,它会自动嵌入您的用户和角色。

为组嵌入内联策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Groups

  3. 在列表中,选择要在其中嵌入策略的组的名称。

  4. 选择权限选项卡,然后展开内联策略部分 (如有必要)。

  5. 选择创建组策略。如果在 Groups 中没有策略,则请选择 click here 创建您的第一个内联策略。

  6. 选择 Policy GeneratorCustom Policy,然后选择 Select

  7. 执行以下任一操作:

    • 如果选择了 Custom Policy,则指定策略的名称并创建策略文档。策略验证程序将报告任何语法错误。

    • 如果您要使用策略生成器来创建策略,请选择合适的效果AWS 服务操作选项。键入 Amazon 资源名称 (ARN) (如果适用),然后添加要包含的任何条件。然后选择 Add Statement。您可以按照需求为策略无限添加语句。添加完语句之后,选择 Next Step

  8. 若您满意所创建的策略,请选择 Apply Policy

更改一个或多个委托人的权限边界(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要设置的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 在策略摘要页面上,选择策略用法选项卡,然后(如有必要)打开权限边界部分。选中要更改其边界的用户或角色旁边的复选框,然后选择更改边界

  5. 选择要用于权限边界的新策略。您可以使用 Filter 菜单和搜索框来筛选策略列表。在选择策略后,选择更改边界

分离用作权限策略的托管策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选中要分离的策略的名称旁边的复选框。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy actions,然后选择 Detach

  5. 选择要从中分离策略的身份。您可以使用筛选器菜单和搜索框筛选身份列表。在选择身份后,选择分离策略

删除权限边界(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要设置的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 在策略摘要页面上,选择策略用法选项卡,然后(如有必要)打开权限边界部分并选择删除边界

  5. 确认您要删除边界并选择删除

删除内联策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 GroupsUsersRoles

  3. 在列表中,选择具有要修改的策略的组、用户或角色的名称。

  4. 选择 Permissions 选项卡。如果您选择 Groups,请根据需要展开 Inline Policies 部分。

  5. 如果位于中,请选择删除策略。如果位于用户角色中,请选择 X

添加和删除 IAM 策略 (AWS CLI)

您可以使用 AWS CLI 附加或分离用于权限的托管策略,或者设置、更改或删除用于权限边界的策略。您还可以嵌入或删除内联策略。

将托管策略用作委托人的权限策略 (AWS CLI)

  1. (可选)要查看有关托管策略的信息,请运行以下命令:

  2. 要将托管策略附加到身份(用户、组或角色),请使用以下命令之一:

使用托管策略设置权限边界 (AWS CLI)

  1. (可选)要查看有关托管策略的信息,请运行以下命令:

  2. 要使用托管策略为委托人(用户或角色)设置权限边界,请使用以下命令之一:

嵌入内联策略 (AWS CLI)

要将内联策略嵌入身份(用户、组或不是服务相关角色的角色),请使用以下命令之一:

分离用作权限策略的托管策略 (AWS CLI)

  1. (可选)要查看有关策略的信息,请运行以下命令:

  2. (可选)要了解策略与身份之间的关系,请运行以下命令:

  3. 要从身份(用户、组或角色)分离托管策略,请使用以下命令之一:

删除权限边界 (AWS CLI)

  1. (可选)要查看当前用于为用户或角色设置权限边界的托管策略,请运行以下命令:

  2. (可选)要查看将托管策略用于其权限边界的用户或角色,请运行以下命令:

  3. (可选)要查看有关托管策略的信息,请运行以下命令:

  4. 要从用户或角色删除权限边界,请使用以下命令之一:

删除内联策略 (AWS CLI)

  1. (可选)要列出附加到身份(用户、组和角色)的所有内联策略,请使用以下命令之一:

  2. (可选)要检索嵌入到身份(用户、组或角色)中的内联策略文档,请使用以下命令之一:

  3. 要从身份(用户、组或不是服务相关角色的角色)中删除内联策略,请使用以下命令之一:

添加和删除 IAM 策略 (AWS API)

您可以使用 AWS API 附加或分离用于权限的托管策略,或者设置、更改或删除用于权限边界的策略。您还可以嵌入或删除内联策略。

将托管策略用作委托人的权限策略 (AWS API)

  1. (可选)要查看有关策略的信息,请调用以下操作:

  2. 要将托管策略附加到身份(用户、组或角色),请调用以下操作之一:

使用托管策略设置权限边界 (AWS API)

  1. (可选)要查看有关托管策略的信息,请调用以下操作:

  2. 要使用托管策略为委托人(用户或角色)设置权限边界,请调用以下操作之一:

嵌入内联策略 (AWS API)

要将内联策略嵌入身份(用户、组或不是服务相关角色的角色),请调用以下操作之一:

分离用作权限策略的托管策略 (AWS API)

  1. (可选)要查看有关策略的信息,请调用以下操作:

  2. (可选)要了解策略与身份之间的关系,请调用以下操作:

  3. 要将托管策略与身份(用户、组或角色)分离,请调用以下操作之一:

删除权限边界 (AWS API)

  1. (可选)要查看当前用于为用户或角色设置权限边界的托管策略,请调用以下操作:

  2. (可选)要查看将托管策略用于其权限边界的用户或角色,请调用以下操作:

  3. (可选)要查看有关托管策略的信息,请调用以下操作:

  4. 要从用户或角色删除权限边界,请调用以下操作之一:

删除内联策略 (AWS API)

  1. (可选)要列出附加到身份(用户、组和角色)的所有内联策略,请调用以下操作之一:

  2. (可选)要检索嵌入到身份(用户、组或角色)中的内联策略文档,请调用以下操作之一:

  3. 要将内联策略从身份(用户、组或不是服务相关角色的角色)中删除,请调用以下操作之一: