编辑 IAM 策略
策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 Amazon 中,并在 IAM 中作为基于身份的策略附加到主体。您可以将基于身份的策略附加到主体(或身份),例如,IAM 用户组、用户或角色。基于身份的策略包括 Amazon 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。Amazon 托管策略无法编辑。Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额。
通常来说,最好使用客户管理型策略而非内联策略或 Amazon 托管策略。Amazon 托管策略通常提供广泛的管理权限或只读权限。内联策略不能在其他身份上重复使用,也不能在其所存在的身份之外托管。为了获得最高安全性,请授予最低权限,这意味着仅授予执行特定作业任务所需的权限。
创建或编辑 IAM policy 时,Amazon 可以自动执行策略验证,以帮助您创建具有最低权限的有效策略。在 Amazon Web Services Management Console 中,IAM 可识别 JSON 语法错误,而 IAM Access Analyzer 提供额外的策略检查和建议,以帮助您进一步优化策略。要了解策略验证的更多信息,请参阅 IAM 策略验证。要了解有关 IAM Access Analyzer 策略检查和可执行建议的更多信息,请参阅 IAM Access Analyzer 策略验证。
您可以使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 在 IAM 中编辑客户管理型策略和内联策略。有关使用 Amazon CloudFormation 模板添加或更新策略的更多信息,请参阅《Amazon CloudFormation 用户指南》中的 Amazon Identity and Access Management 资源类型参考。