创建您的第一个 IAM policy
您可通过创建策略 (这是列出实体可执行的操作以及操作可以影响的资源的文档) 向 IAM 实体(IAM 用户或 IAM 角色)授予权限。默认情况下会拒绝未显式允许的任何操作或资源。可创建策略并将其附加到 IAM 用户、IAM 用户组、IAM 角色以及资源。
这些策略与 IAM 角色一起使用:
-
信任策略 – 定义哪些主体能够在何种条件下代入该角色。信任策略是适用于 IAM 角色的一种特定类型的基于资源的策略。角色只能具有一个信任策略。
-
基于身份的策略(内联和托管)– 这些策略定义了角色的用户能够对哪些资源执行(或拒绝执行)的权限。
使用 IAM 基于身份的策略示例 帮助您的 IAM 身份定义权限。在找到所需的策略后,请选择查看该策略以查看该策略的 JSON 版本。您可以将该 JSON 策略文档用作自己策略的模板。
将 IAM policy 附加到 IAM 身份(用户、用户组或角色)或 Amazon 资源。策略是Amazon中的对象;在与标识或资源相关联时,策略定义它们的权限。
创建您的第一个 IAM policy
-
按照《Amazon 登录用户指南》中的如何登录 Amazon 所述,根据用户类型选择相应的登录过程。
-
在控制台主页页面,选择 IAM 服务。
-
在导航窗格中,选择策略。
如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择开始使用。
-
选择创建策略。
-
在创建策略页面上,选择操作,然后选择导入策略。
-
在导入策略窗口的查找策略框中,键入
power
以缩小策略列表。选择 PowerUserAccess 策略。 -
选择导入策略。该策略显示在 JSON 选项卡中。
-
选择下一步。
-
在查看并创建页面上,对于策略名称,键入
PowerUserExamplePolicy
。对于描述,键入Allows full access to all services except those for user management
。然后,选择创建策略以保存该策略。
您可以将该策略附加到某个角色,为代入该角色的用户提供与该策略相关的权限。PowerUserAccess 策略通常用于向开发人员提供访问权限。