使用客户管理型策略定义自定义 IAM 权限

策略定义 AWS 中的身份或资源的权限。您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 在 IAM 中创建客户管理型策略。客户管理型策略是您在自己的 AWS 账户 中管理的独立策略。然后，您可以将策略附加到您的 AWS 账户 中的身份（用户、组和角色）。

基于身份的策略是附加到 IAM 中身份的策略。基于身份的策略可以包括 AWS 托管策略、客户管理型策略和内联策略。AWS 托管策略由 AWS 创建和管理，您可以使用但无法管理这些策略。内联策略是您创建并直接嵌入到 IAM 用户组、用户或角色的策略。内联策略不能在其他身份上重复使用，也不能在其所存在的身份之外托管。有关更多信息，请参阅 添加和删除 IAM 身份权限。

通常来说，最好使用客户管理型策略而非内联策略或 AWS 托管策略。AWS 托管策略通常提供广泛的管理权限或只读权限。为了获得最高安全性，请授予最低权限，这意味着仅授予执行特定作业任务所需的权限。

创建或编辑 IAM policy 时，AWS 可以自动执行策略验证，以帮助您创建具有最低权限的有效策略。在 AWS 管理控制台 中，IAM 可识别 JSON 语法错误，而 IAM Access Analyzer 提供额外的策略检查和建议，以帮助您进一步优化策略。要了解策略验证的更多信息，请参阅 IAM 策略验证。要了解有关 IAM Access Analyzer 策略检查和可执行建议的更多信息，请参阅 IAM Access Analyzer 策略验证。

您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 在 IAM 中创建客户托管策略。有关使用 CloudFormation 模板添加或更新策略的更多信息，请参阅《CloudFormation 用户指南》中的 AWS Identity and Access Management 资源类型参考。