AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

编辑 IAM 策略

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。策略作为 JSON 文档存储在 AWS 中,并在 IAM 中作为基于身份的策略 附加到委托人。您可以将基于身份的策略附加到委托人 (或身份),例如,IAM 组、用户或角色。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。无法编辑 AWS 托管策略。有关策略大小限制和其他配额的信息,请参阅IAM 实体和对象的限制

编辑策略(控制台)

您可以从 AWS 管理控制台编辑 IAM 策略。

编辑客户托管策略(控制台)

您可编辑客户托管策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,AWS 管理控制台将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM 策略版本控制

编辑客户托管策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要编辑的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择权限选项卡,然后选择编辑策略

  5. 执行以下任一操作:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。策略验证程序将报告任何语法错误。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择查看策略,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  6. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

  7. 如果托管策略已达到最大版本数 (五个),选择保存将显示一个对话框。要保存新版本,您必须删除至少一个旧版本。无法删除默认版本。从以下选项中进行选择:

    • 删除最早的非默认策略版本 (版本 v# - # 天前创建) – 可以使用该选项查看将删除的版本及其创建时间。您可以通过选择第二个选项 Select versions to remove 来查看所有非默认版本的 JSON 策略文档。

    • 选择要删除的版本 – 可以使用该选项查看 JSON 策略文档,并选择一个或多个要删除的版本。

    选择要删除的版本后,选择 Delete version and save 来保存新策略版本。

设置客户托管策略的默认版本(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 在策略列表中,选择要设置其默认版本的策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy versions 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default

删除某个版本的客户托管策略(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. 选择要删除其版本的客户托管策略的名称。您可以使用 Filter 菜单和搜索框来筛选策略列表。

  4. 选择 Policy versions 选项卡。选中要删除的版本旁边的复选框,然后选择 Delete

  5. 确认您要删除该版本,然后选择 Delete

编辑内联策略(控制台)

您可以从 AWS 管理控制台编辑内联策略。

为用户或角色编辑内联策略(控制台)

  1. 在导航窗格中,选择用户角色

  2. 选择具有要修改的策略的用户或角色的名称。然后选择权限选项卡并展开此策略。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 执行以下任一操作:

    • 选择可视化编辑器选项卡以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。

    • 选择 JSON 选项卡,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。在完成更改后,选择查看策略以继续。策略验证程序将报告任何语法错误。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version 的复选框。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择查看策略,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  5. 审核页面上,检查策略摘要,然后选择保存更改进行保存。

编辑组的内联策略(控制台)

  1. 在导航窗格中,选择 Groups

  2. 选择具有要修改的策略的组名称。然后选择 Permissions 选项卡。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 在修改您的 JSON 策略后,选择保存以保存您的更改。

编辑 IAM 策略 (AWS CLI)

您可以从 AWS Command Line Interface 编辑客户托管策略 (AWS CLI)。

注意

一个托管策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (AWS CLI)

  1. (可选)要查看有关策略的信息,请运行以下命令:

  2. (可选)要了解策略与身份之间的关系,请运行以下命令:

  3. 要编辑客户托管策略,请运行以下命令:

设置客户托管策略的默认版本 (AWS CLI)

  1. (可选)要列出托管策略,请运行以下命令:

  2. 要设置客户托管策略的默认版本,请运行以下命令:

删除客户托管策略的某个版本 (AWS CLI)

  1. (可选)要列出托管策略,请运行以下命令:

  2. 要删除客户托管策略,请运行以下命令:

编辑 IAM 策略 (AWS API)

您可以使用 AWS API 编辑客户托管策略。

注意

一个托管策略最多可以有五个版本。如果您需要在五个版本之外继续对客户托管策略进行更改,则必须首先删除一个或多个现有版本。

编辑客户托管策略 (AWS API)

  1. (可选)要查看有关策略的信息,请调用以下操作:

  2. (可选)要了解策略与身份之间的关系,请调用以下操作:

  3. 要编辑客户托管策略,请调用以下操作:

设置客户托管策略的默认版本 (AWS API)

  1. (可选)要列出托管策略,请调用以下操作:

  2. 要设置客户托管策略的默认版本,请调用以下操作:

删除客户托管策略的某个版本 (AWS API)

  1. (可选)要列出托管策略,请调用以下操作:

  2. 要删除客户托管策略,请调用以下操作: