托管策略和客户 Amazon 管理型策略的自定义权限 - Amazon IAM Identity Center
内联策略Amazon 托管策略客户托管策略权限边界
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管策略和客户 Amazon 管理型策略的自定义权限

您可以使用自定义权限创建权限集,将自己在 Amazon Identity and Access Management (IAM)中拥有的任何托管策略和客户管理型策略与内联策略相结合。 Amazon 您还可以纳入权限边界,设置其他策略可授予权限集用户的最大可能权限。

有关如何创建权限集的说明,请参阅创建、管理和删除权限集

您可以附加到权限集的策略类型

内联策略

您可以将内联策略附加到权限集。内联策略是格式为 IAM policy 的文本块,您可以将其直接添加到权限集中。创建新权限集时,您可以粘贴策略,也可以使用 IAM Identity Center 控制台中的策略创建工具生成新策略。您还可以使用 Amazon 策略生成器创建 IAM 策略。

当您使用内联策略部署权限集时,IAM Identity Center 会在您分配权限集的中创建一个 IAM policy。 Amazon Web Services 账户 当您将权限集分配给帐户时,IAM Identity Center 会创建策略。然后,该策略将附加到中您的 Amazon Web Services 账户 用户担任的 IAM 角色。

当您创建内联策略并分配权限集时,IAM Identity Center 会在您的中 Amazon Web Services 账户 为您配置策略。使用创建权限集时客户托管策略,您必须先在您的中 Amazon Web Services 账户 自行创建策略,然后再分配权限集。

Amazon 托管策略

您可以将Amazon 管理型策略附加到您的权限集。 Amazon 托管策略是用于 Amazon 维护的 IAM 策略。相比之下,客户托管策略是您在帐户中创建和维护的 IAM 策略。 Amazon 托管策略解决了您的常见的最低权限用例 Amazon Web Services 账户。您可以将 Amazon 管理型策略指定为 IAM Identity Center 所创建角色的权限或权限边界

Amazon 维护适用于工作职能的Amazon 管理型策略,这些策略会为您 Amazon 的资源分配特定于工作的访问权限。当您选择对权限集使用预定义权限时,可以添加一项工作职能策略。选择自定义权限时,可以添加多项工作职能策略。

您 Amazon Web Services 账户 还包含大量针对特定策略 Amazon Web Services 服务 和组合的 Amazon 托管 IAM 策略 Amazon Web Services 服务。创建具有自定义权限的权限集时,可以从许多其他 Amazon 管理型策略中进行选择,将其分配给您的权限集。

Amazon 每个都填 Amazon Web Services 账户 充 Amazon 托管策略。要使用 Amazon 管理型策略部署权限集,您无需先在中创建策略 Amazon Web Services 账户。使用创建权限集时客户托管策略,您必须先在您的中 Amazon Web Services 账户 自行创建策略,然后再分配权限集。

有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的Amazon 托管策略

客户托管策略

您可以将客户管理型策略附加到您的权限集。客户管理型策略是您在帐户中创建和维护的 IAM 策略。相比之下,Amazon 托管策略是您的帐户中 Amazon 维护的 IAM 策略。您可以将客户管理型策略指定为 IAM Identity Center 所创建角色的权限或权限边界

使用客户管理型策略创建权限集时,您必须在 IAM Identity Center 分配您的权限集的每个 Amazon Web Services 账户 中创建具有相同名称和路径的 IAM policy。如果要指定自定义路径,请确保在每个 Amazon Web Services 账户中指定相同的路径。有关更多信息,请参阅《IAM 用户指南》中的友好名称和路径。IAM Identity Center 将 IAM policy 附加到其在您的 Amazon Web Services 账户中创建的 IAM 角色。最佳做法是在每个您分配权限集的帐户中对策略应用相同的权限。有关更多信息,请参阅 在权限集中使用 IAM 策略

注意

将客户托管策略附加到权限集时,该策略的名称不区分大小写。

有关更多信息,请参阅 IAM 用户指南中的客户管理型策略

权限边界

您可以将权限边界附加到您的权限集。权限边界是一项 Amazon 管理型或客户管理型 IAM policy,设置基于身份的策略可以为 IAM 主体授予的最大权限。当您应用权限边界时,您的 内联策略客户托管策略、和 Amazon 托管策略 不能授予任何超出您的权限边界所授予权限的权限。权限边界不授予任何权限,而是让 IAM 忽略边界之外的所有权限。

当您创建以客户管理型策略作为权限边界的权限集时,您必须在 IAM Identity Center 分配您的权限集的每个 Amazon Web Services 账户 中创建一个名称相同的 IAM policy。IAM Identity Center 将 IAM policy 作为权限边界附加到它在您的 Amazon Web Services 账户 中创建的 IAM 角色。

有关更多信息,请参阅 IAM 用户指南 中的 IAM 实体的权限边界