AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

编辑 IAM 策略

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 AWS 中,并在 IAM 中作为基于身份的策略 附加到委托人。您可以将基于身份的策略附加到委托人 (或身份),例如,IAM 组、用户或角色。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。无法编辑 AWS 托管策略。有关策略大小限制和其他配额的信息,请参阅IAM 实体和对象的限制

编辑客户托管策略 (控制台)

您可编辑客户托管策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,AWS 管理控制台将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM 策略版本控制

编辑客户托管策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要编辑的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择权限选项卡,然后选择编辑策略

  5. 执行以下任一操作:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。策略验证程序将报告任何语法错误。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择查看策略,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  6. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

  7. 如果托管策略已达到最大版本数 (五个),选择保存将显示一个对话框。要保存新版本,您必须删除至少一个旧版本。无法删除默认版本。从以下选项中进行选择:

    • 删除最早的非默认策略版本 (版本 v# - # 天前创建) – 可以使用该选项查看将删除的版本及其创建时间。您可以通过选择第二个选项 Select versions to remove 来查看所有非默认版本的 JSON 策略文档。

    • 选择要删除的版本 – 可以使用该选项查看 JSON 策略文档,并选择一个或多个要删除的版本。

    选择要删除的版本后,选择 Delete version and save 来保存新策略版本。

设置客户托管策略的默认版本 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要设置其默认版本的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy versions 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default

删除某个版本的客户托管策略 (控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 选择要删除其版本的客户托管策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy versions 选项卡。选中要删除的版本旁边的复选框,然后选择 Delete

  5. 确认您要删除该版本,然后选择 Delete

编辑内联策略 (控制台)

您可以使用 AWS 管理控制台编辑内联策略。

为用户或角色编辑内联策略 (控制台)

  1. 在导航窗格中,选择用户角色

  2. 选择具有要修改的策略的用户或角色的名称。然后选择权限选项卡并展开此策略。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 执行以下任一操作:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。策略验证程序将报告任何语法错误。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version 的复选框。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择查看策略,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  5. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

编辑组的内联策略 (控制台)

  1. 在导航窗格中,选择 Groups

  2. 选择具有要修改的策略的组名称。然后选择 Permissions 选项卡。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 在修改您的 JSON 策略后,选择保存以保存您的更改。

编辑 IAM 策略 (AWS CLI 或 AWS API)

您可以使用 AWS Command Line Interface (AWS CLI) 或 AWS API 编辑托管策略或内联策略。

注意

一个托管策略最多可以有五个版本。如果需要从 AWS Command Line Interface或 AWS API 中在五个版本之外更改客户托管策略,您必须先删除一个或多个现有的版本。

列出托管策略 (AWS CLI 或 API)

检索有关托管策略的详细信息 (AWS CLI 或 API)

列出托管策略附加到的身份 (用户、组和角色) (AWS CLI 或 API)

列出附加到身份 (用户、组或角色) 的托管策略 (AWS CLI 或 API)

编辑客户托管策略 (AWS CLI 或 API)

设置客户托管策略的默认版本 (AWS CLI 或 API)

删除某个版本的客户托管策略 (AWS CLI 或 API)