自定义权限 - Amazon IAM Identity Center
内联策略Amazon 托管策略客户托管策略权限边界
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义权限

当您创建具有自定义权限的权限集时,您可以将您在 Amazon Identity and Access Management (IAM) 中拥有的任何托管策略和客户托管策略与内联策略以及设置任何其他策略可以授予您的权限集用户的最大可能权限的权限边界相结合。 Amazon

有关如何创建权限集的说明,请参阅创建、管理和删除权限集

您可以附加到权限集的策略类型

内联策略

您可以将内联策略附加到权限集。内联策略是格式为 IAM policy 的文本块,您可以将其直接添加到权限集中。创建新权限集时,您可以粘贴策略,也可以使用 IAM Identity Center 控制台中的策略创建工具生成新策略。您还可以使用 Amazon 策略生成器创建 IAM 策略。

当您使用内联策略部署权限集时,IAM Identity Center 会在您分配权限集的 Amazon Web Services 账户 位置创建一个 IAM 策略。当您将权限集分配给账户时,IAM Identity Center 会创建策略。然后,该策略将附加到您的用户担任 Amazon Web Services 账户 的 IAM 角色。

当您创建内联策略并分配权限集时,IAM Identity Center 会 Amazon Web Services 账户 为您配置您的策略。使用构建权限集时客户托管策略,在分配权限集之前,必须 Amazon Web Services 账户 自己创建策略。

Amazon 托管策略

您可以将Amazon 托管策略附加到您的权限集。 Amazon 托管策略是用于 Amazon 维护的 IAM 策略。相比之下,客户托管策略是您在账户中创建和维护的 IAM 策略。 Amazon 托管策略解决了您的常见的最低权限用例 Amazon Web Services 账户。您可以将 Amazon 托管策略分配为 IAM Identity Center 创建的角色的权限或权限边界

Amazon 维护工作职能的Amazon 托管策略,这些策略可为您的 Amazon 资源分配特定于作业的访问权限。当您选择对权限集使用预定义权限时,可以添加一项工作职能策略。选择自定义权限时,可以添加多项工作职能策略。

您 Amazon Web Services 账户 还包含大量针对特定策略 Amazon Web Services 和组合的 Amazon 托管 IAM 策略 Amazon Web Services。创建具有自定义权限的权限集时,可以从许多其他 Amazon 托管策略中进行选择,将其分配给您的权限集。

Amazon 每个都填 Amazon Web Services 账户 充 Amazon 托管策略。要部署包含 Amazon 托管策略的权限集,您无需先在中创建策略 Amazon Web Services 账户。使用构建权限集时客户托管策略,在分配权限集之前,必须 Amazon Web Services 账户 自己创建策略。

有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略

客户托管策略

您可以将客户管理型策略附加到您的权限集。客户管理型策略是您在账户中创建和维护的 IAM 策略。相比之下,您的账户中Amazon 托管策略是否有 IAM 策略可以 Amazon 维护。您可以将客户管理型策略指定为 IAM Identity Center 所创建角色的权限或权限边界

使用客户托管策略创建权限集时,必须在 IAM Identity Center 分配权限集的每个 Amazon Web Services 账户 策略中创建具有相同名称和路径的 IAM 策略。如果要指定自定义路径,请确保在每个 Amazon Web Services 账户中指定相同的路径。有关更多信息,请参阅《IAM 用户指南》中的友好名称和路径。IAM Identity Center 将 IAM policy 附加到其在您的 Amazon Web Services 账户中创建的 IAM 角色。最佳做法是在每个您分配权限集的账户中对策略应用相同的权限。有关更多信息,请参阅 在权限集中使用 IAM 策略

有关更多信息,请参阅 IAM 用户指南中的客户管理型策略

权限边界

您可以将权限边界附加到您的权限集。权限边界是一种 Amazon 托管或客户托管的 IAM 策略,用于设置基于身份的策略可以向 IAM 委托人授予的最大权限。当您应用权限边界时,您的 内联策略客户托管策略、和 Amazon 托管策略 不能授予任何超出您的权限边界所授予权限的权限。权限边界不授予任何权限,而是让 IAM 忽略边界之外的所有权限。

当您创建以客户管理型策略作为权限边界的权限集时,您必须在 IAM Identity Center 分配您的权限集的每个 Amazon Web Services 账户 中创建一个名称相同的 IAM policy。IAM Identity Center 将 IAM policy 作为权限边界附加到它在您的 Amazon Web Services 账户 中创建的 IAM 角色。

有关更多信息,请参阅 IAM 用户指南 中的 IAM 实体的权限边界