编辑 IAM 策略(控制台) - AWS Identity and Access Management
先决条件编辑客户托管策略(控制台)设置客户管理型策略的默认版本(控制台)删除某个版本的客户管理型策略(控制台)编辑内联策略(控制台)

编辑 IAM 策略(控制台)

策略是一个实体;在附加到身份或资源时,策略定义了它们的权限。您可以使用 AWS Management Console 在 IAM 中编辑客户管理型策略内联策略。AWS 托管策略无法编辑。AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 AWS STS 配额

有关策略结构和语法的更多信息,请参阅AWS Identity and Access Management 中的策略和权限IAM JSON 策略元素参考

先决条件

在更改策略的权限之前,您应查看其最近的服务级别活动。这非常重要,因为您不想删除使用它的主体(个人或应用程序)的访问权限。有关查看上次访问的信息的更多信息,请参阅 使用上次访问的信息优化 AWS 中的权限

编辑客户托管策略(控制台)

您可以从 AWS Management Console 中编辑客户管理型策略以更改在策略中定义的权限。客户托管策略最多可以具有五个版本。这是非常重要的,因为如果在五个版本以外更改托管策略,AWS Management Console将提示您决定删除哪个版本。也可以更改策略的默认版本,或者在编辑之前删除一个版本以避免出现提示。要了解版本的更多信息,请参阅IAM policy 版本控制

Console
编辑客户管理型策略

  1. 登录到 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 在策略列表中,选择要编辑的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择权限选项卡,然后选择编辑

  5. 请执行以下操作之一:

    • 选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。

    • 选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择下一步

      注意

      您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  6. 查看并保存页面上,查看此策略中定义的权限,然后选择保存更改以保存您的工作。

  7. 如果管理型策略已达到最大版本数(5 个),选择保存更改将显示对话框。要保存您的新版本,策略最旧的非默认版本将被移除并替换为该新版本。(可选)您也可以将新版本设置为策略的默认版本。

    选择保存更改以保存您的新策略版本。

设置客户管理型策略的默认版本(控制台)

您可以从 AWS Management Console 中设置客户管理型策略的默认版本。您可以使用该策略为整个组织中的权限建立一致的基准配置。该策略的所有新附件都将使用这组标准化的权限。

Console
设置客户托管策略的默认版本(控制台)

  1. 登录到 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 在策略列表中,选择要设置其默认版本的策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要设置为默认版本的版本旁的复选框,然后选择 Set as default

删除某个版本的客户管理型策略(控制台)

您可能需要删除客户管理型策略的某个版本,才能删除不再需要的权限或存在潜在安全风险的过时权限或不正确权限。仅维护必要的版本有助于确保始终处于五个管理型策略版本的限制范围内,从而为将来的更新和改进留出空间。您可以从 AWS Management Console 中删除客户管理型策略的某个版本。

Console
删除客户管理型策略的某个版本

  1. 登录到 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择要删除其版本的客户托管策略的名称。您可以使用搜索框筛选策略列表。

  4. 选择 Policy Versions (策略版本) 选项卡。选中要删除的版本旁边的复选框,然后选择删除

  5. 确认您要删除该版本,然后选择 Delete

编辑内联策略(控制台)

您可能需要编辑客户管理型策略以更新或完善所授予的权限,确保这些权限与组织不断变化的安全要求和访问控制需求保持一致。您可通过编辑来调整策略的 JSON 文档,并添加、修改或删除特定操作、资源或条件,以维护最低权限原则并适应环境或流程的变化。您可以从 AWS Management Console编辑内联策略。

Console
编辑用户、用户组或角色的内联策略

  1. 在导航窗格中,选择 Users(用户)、User groups(用户组)或 Roles(角色)。

  2. 请选择具有要修改的策略的用户组、用户或角色的名称。然后选择权限选项卡并展开此策略。

  3. 要编辑内联策略,请选择 Edit Policy

  4. 请执行以下操作之一:

    • 选择可视化选项以更改您的策略,而无需了解 JSON 语法。您可以更改策略中的每个权限块的服务、操作、资源或可选条件。也可以导入一个策略以在您的策略底部添加其他权限。完成更改后,选择下一步以继续。

    • 选择 JSON 选项,然后在 JSON 文本框中键入或粘贴文本以修改您的策略。也可以导入一个策略以在您的策略底部添加其他权限。解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择下一步。要在不影响当前附加的实体的情况下保存更改,请清除 Save as default version 的复选框。

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  5. 审核页面上,审核策略摘要,然后选择保存更改进行保存。