编辑 IAM 策略

策略是一个实体；在附加到身份或资源时，策略定义了它们的权限。策略作为 JSON 文档存储在 AWS 中，并在 IAM 中作为基于身份的策略附加到主体。您可以将基于身份的策略附加到主体（或身份），例如，IAM 用户组、用户或角色。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。您可以在 IAM 中编辑客户托管策略和内联策略。AWS 托管策略无法编辑。AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息，请参阅 IAM 和 AWS STS 配额。

通常来说，最好使用客户管理型策略而非内联策略或 AWS 托管策略。AWS 托管策略通常提供广泛的管理权限或只读权限。内联策略不能在其他身份上重复使用，也不能在其所存在的身份之外托管。为了获得最高安全性，请授予最低权限，这意味着仅授予执行特定作业任务所需的权限。

创建或编辑 IAM policy 时，AWS 可以自动执行策略验证，以帮助您创建具有最低权限的有效策略。在 AWS 管理控制台 中，IAM 可识别 JSON 语法错误，而 IAM Access Analyzer 提供额外的策略检查和建议，以帮助您进一步优化策略。要了解策略验证的更多信息，请参阅 IAM 策略验证。要了解有关 IAM Access Analyzer 策略检查和可执行建议的更多信息，请参阅 IAM Access Analyzer 策略验证。

您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 在 IAM 中编辑客户管理型策略和内联策略。有关使用 CloudFormation 模板添加或更新策略的更多信息，请参阅《CloudFormation 用户指南》中的 AWS Identity and Access Management 资源类型参考。