本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 托管策略和客户 AWS 托管策略的自定义权限
您可以创建具有**自定义权限的权限**集,将您在 AWS Identity and Access Management (IAM) 中拥有的任何托管策略和客户托管策略与内联策略相结合。 AWS 您还可以纳入权限边界,设置其他策略可授予权限集用户的最大可能权限。
有关如何创建权限集的说明,请参阅[创建、管理和删除权限集](permissionsets.md)。
**您可以附加到权限集的策略类型**
**Topics**
+ [内联策略](#permissionsetsinlineconcept)
+ [AWS 托管策略](#permissionsetsampconcept)
+ [客户托管策略](#permissionsetscmpconcept)
+ [权限边界](#permissionsetsboundaryconcept)
## 内联策略
您可以将*内联策略*附加到权限集。内联策略是格式为 IAM policy 的文本块,您可以将其直接添加到权限集中。创建新权限集时,您可以粘贴策略,也可以使用 IAM Identity Center 控制台中的策略创建工具生成新策略。您还可以使用 [AWS 策略生成器](https://awspolicygen.s3.amazonaws.com/policygen.html)创建 IAM 策略。
当您使用内联策略部署权限集时,IAM Identity Center 会在您分配权限集 AWS 账户 的地方创建一个 IAM 策略。当您将权限集分配给帐户时,IAM Identity Center 会创建策略。然后,该策略将附加到您的用户担任 AWS 账户 的 IAM 角色。
当您创建内联策略并分配权限集时,IAM Identity Center 会 AWS 账户 为您配置您的策略。使用构建权限集时[客户托管策略](#permissionsetscmpconcept),在分配权限集之前,必须 AWS 账户 自己创建策略。
## AWS 托管策略
您可以将*AWS 托管策略*附加到您的权限集。 AWS 托管策略是用于 AWS 维护的 IAM 策略。相比之下,[客户托管策略](#permissionsetscmpconcept)是您在账户中创建和维护的 IAM 策略。 AWS 托管策略解决了您的常见的最低权限用例 AWS 账户。您可以将 AWS 托管策略分配为 IAM Identity Center 创建的角色的权限或[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
AWS 维护[工作职能的AWS 托管策略,这些策略可为您的 AWS 资源分配特定于作业](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)的访问权限。当您选择对权限集使用**预定义权限**时,可以添加一项工作职能策略。选择**自定义权限**时,可以添加多项工作职能策略。
您 AWS 账户 还包含大量针对特定策略 AWS 服务 和组合的 AWS 托管 IAM 策略 AWS 服务。创建具有**自定义权限的权限**集时,可以从许多其他 AWS 托管策略中进行选择,将其分配给您的权限集。
AWS 每个都填 AWS 账户 充 AWS 托管策略。要部署包含 AWS 托管策略的权限集,您无需先在中创建策略 AWS 账户。使用构建权限集时[客户托管策略](#permissionsetscmpconcept),在分配权限集之前,必须 AWS 账户 自己创建策略。
有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## 客户托管策略
您可以将*客户管理型策略*附加到您的权限集。客户管理型策略是您在帐户中创建和维护的 IAM 策略。相比之下,您的账户中[AWS 托管策略](#permissionsetsampconcept)是否有 IAM 策略可以 AWS 维护。您可以将客户管理型策略指定为 IAM Identity Center 所创建角色的权限或[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
使用客户托管策略创建权限集时,必须在 IAM Identity Center 分配权限集的每个 AWS 账户 策略中创建具有相同名称和路径的 IAM 策略。如果要指定自定义路径,请确保在每个 AWS 账户中指定相同的路径。有关更多信息,请参阅《IAM 用户指南》中的[友好名称和路径](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names)。IAM Identity Center 将 IAM policy 附加到其在您的 AWS 账户中创建的 IAM 角色。最佳做法是在每个您分配权限集的帐户中对策略应用相同的权限。有关更多信息,请参阅 [在权限集中使用 IAM 策略](howtocmp.md)。
**注意**
当客户管理型策略附加到权限集时,策略名称不区分大小写。
有关更多信息,请参阅 IAM 用户指南中的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。
## 权限边界
您可以将*权限边界*附加到您的权限集。权限边界是一种 AWS 托管或客户托管的 IAM 策略,用于设置基于身份的策略可以向 IAM 委托人授予的最大权限。当您应用权限边界时,您的 [内联策略](#permissionsetsinlineconcept)、[客户托管策略](#permissionsetscmpconcept)、和 [AWS 托管策略](#permissionsetsampconcept) 不能授予任何超出您的权限边界所授予权限的权限。权限边界不授予任何权限,而是让 IAM 忽略边界之外的所有权限。
当您创建以客户管理型策略作为权限边界的权限集时,您必须在 IAM Identity Center 分配您的权限集的每个 AWS 账户 中创建一个名称相同的 IAM policy。IAM Identity Center 将 IAM policy 作为权限边界附加到它在您的 AWS 账户 中创建的 IAM 角色。
有关更多信息,请参阅 IAM 用户指南 中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。