编辑 IAM 策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

编辑 IAM 策略

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 Amazon 中,并在 IAM 中作为基于身份的策略附加到主体。您可以将基于身份的策略附加到主体(或身份),例如,IAM 用户组、用户或角色。基于身份的策略包括 Amazon 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。Amazon 托管策略无法编辑。Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额

查看策略访问

在更改策略的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅使用上次访问的信息优化 Amazon 中的权限

编辑客户托管策略(控制台)

您可编辑客户托管策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,Amazon Web Services Management Console将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM 策略版本控制

编辑客户托管策略(控制台)

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies(策略)

  3. 在策略列表中,选择要编辑的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择权限选项卡,然后选择编辑策略

  5. 请执行下列操作之一:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Review policy(查看策略)。

      注意

      您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  6. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

  7. 如果托管策略已达到最大版本数 (五个),选择保存将显示一个对话框。要保存新版本,您必须删除至少一个旧版本。无法删除默认版本。从以下选项中进行选择:

    • Remove oldest non-default policy version (version v# - created # days ago)(删除最早的非默认策略版本(版本 v# - # 天前创建))– 使用此选项可以查看将被删除的版本及其创建时间。您可以通过选择第二个选项 Select versions to remove 来查看所有非默认版本的 JSON 策略文档。

    • Select versions to remove(选择要删除的版本)- 使用此选项可以查看 JSON 策略文档,并选择一个或多个要删除的版本。

    选择要删除的版本后,选择 Delete version and save 来保存新策略版本。

设置客户托管策略的默认版本(控制台)

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies(策略)

  3. 在策略列表中,选择要设置其默认版本的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default

删除某个版本的客户托管策略(控制台)

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies(策略)

  3. 选择要删除其版本的客户托管策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要删除的版本旁边的复选框,然后选择 Delete(删除)

  5. 确认您要删除该版本,然后选择 Delete

编辑内联策略(控制台)

您可以从 Amazon Web Services Management Console编辑内联策略。

编辑用户、用户组或角色的内联策略(控制台)

  1. 在导航窗格中,选择 Users(用户)、User groups(用户组)或 Roles(角色)。

  2. 选择具有要修改的策略的用户组、用户或角色的名称。然后选择权限选项卡并展开此策略。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 请执行下列操作之一:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Review policy(查看策略)。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version(以默认版本保存)的复选框。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  5. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

编辑客户托管策略 (Amazon CLI)

您可以从 Amazon Command Line Interface (Amazon CLI) 编辑客户托管策略。

注意

一个托管策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (Amazon CLI)

  1. (可选)要查看有关策略的信息,请运行以下命令:

  2. (可选)要了解策略与身份之间的关系,请运行以下命令:

  3. 要编辑客户托管策略,请运行以下命令:

  4. (可选)要验证客户托管策略,请运行以下 IAM Access Analyzer 命令:

设置客户托管策略的默认版本 (Amazon CLI)

  1. (可选)要列出托管策略,请运行以下命令:

  2. 要设置客户托管策略的默认版本,请运行以下命令:

删除客户托管策略的某个版本 (Amazon CLI)

  1. (可选)要列出托管策略,请运行以下命令:

  2. 要删除客户托管策略,请运行以下命令:

编辑客户托管策略 (Amazon API)

您可以使用 Amazon API 编辑客户托管策略。

注意

一个托管策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (Amazon API)

  1. (可选)要查看有关策略的信息,请调用以下操作:

  2. (可选)要了解策略与身份之间的关系,请调用以下操作:

  3. 要编辑客户托管策略,请调用以下操作:

  4. (可选)要验证客户托管策略,请调用以下 IAM Access Analyzer 操作:

设置客户托管策略的默认版本 (Amazon API)

  1. (可选)要列出托管策略,请调用以下操作:

  2. 要设置客户托管策略的默认版本,请调用以下操作:

删除客户托管策略的某个版本 (Amazon API)

  1. (可选)要列出托管策略,请调用以下操作:

  2. 要删除客户托管策略,请调用以下操作: