本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在受管政策與內嵌政策之間選擇
<a name="access_policies-choosing-managed-or-inline"></a>

在決定是使用受管政策還是內嵌政策時，考慮您的使用案例。在大多數情況下，我們建議使用受管政策而非內嵌政策。

**注意**  
您可以同時使用受管政策和內嵌政策，來定義主體實體的一般許可和唯一許可。

受管政策具備以下功能：

**可重複使用性**  
單一受管政策可以連接到多個主體實體 (使用者、群組和角色)。您可以建立政策程式庫，為 定義有用的許可 AWS 帳戶，然後視需要將這些政策連接至委託人實體。

**集中變更管理**  
更改受管政策時，更改會套用於政策連接到的所有主體實體。例如，如果您想要新增新 AWS API 的許可，您可以更新客戶受管政策，或建立 AWS 受管政策的關聯以新增許可。如果您使用的是 AWS 受管政策， 會 AWS 更新政策。更新受管政策時，更改會套用於受管政策連接到的所有主體實體。反之，若要變更內嵌政策，您必須分別編輯包含該內嵌政策的每個身分。例如，如果一個群組和一個角色都包含同一內嵌政策，則您必須分別編輯這兩個主體實體以變更該政策。

**版本控制和還原**  
在更改客戶管理政策時，更改的政策不會覆蓋現有的政策。IAM 反而會建立新版本的受管政策。IAM 最多可以儲存五個版本的客戶管理政策。如果需要，可以使用政策版本將政策還原為較早版本。  
政策版本與 `Version` 政策元素不同。`Version` 政策元素是在政策內使用，並定義政策語言的版本。若要進一步了解政策版本，請參閱 [版本控制 IAM 政策](access_policies_managed-versioning.md)。若要進一步了解 `Version` 政策元素，請參閱 [IAM JSON 政策元素：Version](reference_policies_elements_version.md)。

**委派許可管理**  
您可以允許 中的使用者 AWS 帳戶 連接和分離政策，同時控制這些政策中定義的許可。因此，您可以將一些使用者指定為完全管理員，也就是建立、更新和刪除政策的管理員。隨後可以將其使用者指定為受限管理員。受限管理員可以將政策 (限於您允許連接的政策) 連接到其他主體實體。  
如需有關委派許可管理的詳細資訊，請參閱 [控制對政策的存取](access_controlling.md#access_controlling-policies)。

**較大政策字元限制**  
受管政策的字元大小上限大於群組內嵌政策的字元限制。如果達到內嵌政策的字元大小限制，您可以建立更多 IAM 群組，並將受管政策附加到群組。  
如需有關配額和限制的詳細資訊，請參閱 [IAM AWS STS 和配額](reference_iam-quotas.md)。

** AWS 受管政策的自動更新**  
AWS 會維護 AWS 受管政策，並視需要更新這些政策，例如新增新 AWS 服務的許可，而不必進行變更。更新會自動套用至您已連接 AWS 受管政策的主體實體。

## 受管政策入門
<a name="access_policies-get-started-managed-policy"></a>

我們建議使用[授予最低權限](access_policies.md#grant-least-priv)的政策，或僅授予執行任務所需的許可。授予最低權限的最安全方式是撰寫僅具有團隊所需許可的客戶管理政策。您必須建立程序，以允許您的團隊在必要時要求更多許可。[建立 IAM 客戶受管政策](access_policies_create-console.md)需要時間和專業知識，而受管政策可為您的團隊提供其所需的許可。

若要開始將許可新增至 IAM 身分 （使用者、使用者群組和角色），您可以使用 [AWS 受管政策](access_policies_managed-vs-inline.md#aws-managed-policies) AWS .managed 政策不會授予最低權限許可。若授予主體的許可超出執行任務所需的許可，您必須考量其相關的安全性風險。

您可以將 AWS 受管政策，包括任務函數，連接到任何 IAM 身分。如需詳細資訊，請參閱[新增和移除 IAM 身分許可](access_policies_manage-attach-detach.md)。

若要切換到最低權限許可，您可以執行 AWS Identity and Access Management 和 Access Analyzer 以使用 AWS 受管政策監控委託人。了解他們正在使用哪些許可後，您可以撰寫或產生僅具有團隊所需許可的客戶管理政策。這較不安全，但在您了解團隊使用 的方式時提供更多彈性 AWS。如需詳細資訊，請參閱[產生 IAM Access Analyzer 政策](access-analyzer-policy-generation.md)。

AWS 受管政策旨在為許多常用案例提供許可。如需專為特定任務函數設計的 AWS 受管政策的詳細資訊，請參閱 [AWS 任務函數的 受管政策](access_policies_job-functions.md)。

如需 AWS 受管政策的清單，請參閱 [AWS 受管政策參考指南](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。

## 使用內嵌政策
<a name="policies-using-inline-policies"></a>

如果您要在政策與套用它的身分之間維持嚴格的一對一關聯性，則內嵌政策十分有用。例如，如果您要確保政策中的許可不會無意中分配給預期身分之外的身分。使用內嵌政策時，政策中的許可不能意外分配給錯誤的身分。此外，當您使用 AWS 管理主控台 刪除該身分時，也會刪除內嵌在身分中的政策，因為它們是委託人實體的一部分。