编辑 IAM policy - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

编辑 IAM policy

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 Amazon 中,并在 IAM 中作为基于身份的策略附加到主体。您可以将基于身份的策略附加到主体(或身份),例如,IAM 用户组、用户或角色。基于身份的策略包括 Amazon 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。Amazon 托管策略无法编辑。Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅IAM 和 Amazon STS 配额

查看策略访问

在更改策略的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 Amazon 中的权限

编辑客户托管策略(控制台)

您可编辑客户托管策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,Amazon Web Services Management Console将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM policy 版本控制

编辑客户托管策略(控制台)
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 在策略列表中,选择要编辑的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择权限选项卡,然后选择编辑

  5. 请执行下列操作之一:

    • 选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。

    • 选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。

      注意

      您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构

  6. 查看并保存页面上,查看此策略中定义的权限,然后选择保存更改以保存您的工作。

  7. 如果管理型策略已达到最大版本数(5 个),选择保存更改将显示对话框。要保存您的新版本,策略最旧的非默认版本将被移除并替换为该新版本。(可选)您也可以将新版本设置为策略的默认版本。

    选择保存更改以保存您的新策略版本。

设置客户托管策略的默认版本(控制台)
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 在策略列表中,选择要设置其默认版本的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default

删除某个版本的客户托管策略(控制台)
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 选择要删除其版本的客户托管策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要删除的版本旁边的复选框,然后选择 Delete(删除)

  5. 确认您要删除该版本,然后选择 Delete

编辑内联策略(控制台)

您可以从 Amazon Web Services Management Console编辑内联策略。

编辑用户、用户组或角色的内联策略(控制台)
  1. 在导航窗格中,选择 Users(用户)、User groups(用户组)或 Roles(角色)。

  2. 请选择具有要修改的策略的用户组、用户或角色的名称。然后选择权限选项卡并展开此策略。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 请执行下列操作之一:

    • 选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。

    • 选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version 的复选框。

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构

  5. 审核页面上,审核策略摘要,然后选择保存更改进行保存。

编辑客户托管策略 (Amazon CLI)

您可以从 Amazon Command Line Interface (Amazon CLI) 编辑客户托管策略。

注意

一个托管 策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (Amazon CLI)
  1. (可选)要查看有关策略的信息,请运行以下命令:

  2. (可选)要了解策略与身份之间的关系,请运行以下命令:

  3. 要编辑客户托管策略,请运行以下命令:

  4. (可选)要验证客户托管策略,请运行以下 IAM Access Analyzer 命令:

设置客户托管策略的默认版本 (Amazon CLI)
  1. (可选)要列出托管策略,请运行以下命令:

  2. 要设置客户托管策略的默认版本,请运行以下命令:

删除客户托管策略的某个版本 (Amazon CLI)
  1. (可选)要列出托管策略,请运行以下命令:

  2. 要删除客户托管策略,请运行以下命令:

编辑客户托管策略 (Amazon API)

您可以使用 Amazon API 编辑客户托管策略。

注意

一个托管 策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (Amazon API)
  1. (可选)要查看有关策略的信息,请调用以下操作:

  2. (可选)要了解策略与身份之间的关系,请调用以下操作:

  3. 要编辑客户托管策略,请调用以下操作:

  4. (可选)要验证客户托管策略,请调用以下 IAM Access Analyzer 操作:

设置客户托管策略的默认版本 (Amazon API)
  1. (可选)要列出托管策略,请调用以下操作:

  2. 要设置客户托管策略的默认版本,请调用以下操作:

删除客户托管策略的某个版本 (Amazon API)
  1. (可选)要列出托管策略,请调用以下操作:

  2. 要删除客户托管策略,请调用以下操作: