AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

附加和分离 IAM 策略

您可以使用 AWS 管理控制台、AWS Command Line Interface (AWS CLI) 或 AWS API 附加和分离托管策略以及嵌入和删除内联策略。

有关托管策略和内联策略之间的差别的更多信息,请参阅托管策略与内联策略

有关 IAM 策略的一般信息,请参阅IAM 策略

有关策略大小限制和其他配额的信息,请参阅IAM 实体和对象的限制

附加 IAM 策略 (控制台)

您可以使用 AWS 管理控制台将托管策略附加到身份 (用户、组或角色)。如果附加一个策略,则会将该策略中的权限应用于身份。

附加托管策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选中要附加的策略的名称旁边的复选框。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy actions,然后选择 Attach

  5. 选择一个或多个要将策略附加到的身份。您可以使用 Filter 菜单和搜索框来筛选委托人实体列表。在选择身份后,选择附加策略

嵌入内联策略 (控制台)

您可以使用 AWS 管理控制台将内联策略嵌入身份 (用户、组或角色)。如果嵌入一个策略,则会将该策略中的权限应用于身份。由于内联策略存储在身份中,因此,是嵌入而不是附加该策略,尽管这是类似的概念。

为用户或角色嵌入内联策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择用户角色

  3. 在列表中,选择要在其中嵌入策略的用户或角色的名称。

  4. 选择 Permissions 选项卡。

  5. 滚动到页面底部并选择添加内联策略

    注意

    您不能在 IAM 中的服务相关角色中嵌入内联策略。由于链接服务定义了您是否能修改角色的权限,因此,您可能能够从服务控制台、API 或 AWS CLI 添加其他策略。要查看某个服务的服务相关角色文档,请参阅使用 IAM 的 AWS 服务并在您的服务的 Service-Linked Role 列中选择 Yes

  6. 选择以下方法之一来查看创建策略所需的步骤:

    • 导入现有的托管策略 – 可以在您的账户中导入一个托管策略,然后编辑该策略以根据您的特定要求进行自定义。托管策略可以是 AWS 托管策略,也可以是您以前创建的客户托管策略。

    • 使用可视化编辑器创建策略 – 您可以在可视化编辑器中从头开始构建新的策略。如果使用可视化编辑器,您不需要了解 JSON 语法。

    • 在 JSON 选项卡上创建策略 – 在 JSON 选项卡上,您可以使用 JSON 语法创建策略。您可以键入新的 JSON 策略文档或粘贴示例策略

  7. 创建内联策略后,它会自动嵌入您的用户和角色。

为组嵌入内联策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Groups

  3. 在列表中,选择要在其中嵌入策略的组的名称。

  4. 选择权限选项卡,然后展开内联策略部分 (如有必要)。

  5. 选择创建组策略。如果在 Groups 中没有策略,则请选择 click here 创建您的第一个内联策略。

  6. 选择 Policy GeneratorCustom Policy,然后选择 Select

  7. 执行以下任一操作:

    • 如果选择了 Custom Policy,则指定策略的名称并创建策略文档。策略验证程序将报告任何语法错误。

    • 如果您要使用策略生成器来创建策略,请选择合适的 EffectAWS ServiceActions 选项。键入 Amazon 资源名称 (ARN) (如果适用),然后添加要包含的任何条件。然后选择 Add Statement。您可以按照需求为策略无限添加语句。添加完语句之后,选择 Next Step

  8. 若您满意所创建的策略,请选择 Apply Policy

分离 IAM 策略 (控制台)

您可以使用 AWS 管理控制台将托管策略从委托人实体 (用户、组或角色) 中分离。如果分离一个策略,则会将其权限从委托人实体中删除。

分离托管策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选中要分离的策略的名称旁边的复选框。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy actions,然后选择 Detach

  5. 选择要从中分离策略的身份。您可以使用筛选器菜单和搜索框筛选身份列表。在选择身份后,选择分离策略

分离并删除内联策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 GroupsUsersRoles

  3. 在列表中,选择具有要修改的策略的组、用户或角色的名称。

  4. 选择 Permissions 选项卡。如果您选择 Groups,请根据需要展开 Inline Policies 部分。

  5. 如果位于中,请选择删除策略。如果位于用户角色中,请选择 X

附加或分离 IAM 策略 (AWS CLI 或 AWS API)

您可以使用 AWS Command Line Interface (AWS CLI) 或 AWS API 附加或分离托管策略以及嵌入或删除内联策略。以下信息适用于托管策略和内联策略。

列出托管策略 (AWS CLI 或 API)

检索有关托管策略的详细信息 (AWS CLI 或 API)

列出托管策略附加到的身份 (用户、组和角色) (AWS CLI 或 API)

列出附加到身份 (用户、组或角色) 的托管策略 (AWS CLI 或 API)

列出附加到身份 (用户、组或角色) 的所有内联策略 (AWS CLI 或 API)

检索在身份 (用户、组或角色) 中嵌入的内联策略文档 (AWS CLI 或 API)

将托管策略附加到身份 (用户、组或角色) (AWS CLI 或 API)

将托管策略从身份 (用户、组或角色) 中分离 (AWS CLI 或 API)

在身份 (用户、组或角色) 中嵌入内联策略 (AWS CLI 或 API)

注意

您只能将服务相关角色的内联策略嵌入依赖该角色的服务。请参阅服务的 AWS 文档,了解它是否支持此功能。

将内联策略从身份 (用户、组或角色) 中分离并删除

注意

您只能将服务相关角色的内联策略从依赖该角色的服务中删除。请参阅服务的 AWS 文档,了解它是否支持此功能。