使用客戶管理政策定義自訂 IAM 許可

政策會定義 中身分或資源的許可 AWS。您可以使用 AWS 管理主控台 AWS CLI或 AWS API 在 IAM 中建立客戶受管政策。客戶管理政策是獨立的政策，在您自己的 AWS 帳戶中進行管理。然後，您可以將政策連接到 中的身分 （使用者、群組和角色） AWS 帳戶。

身分型政策是 IAM 中連接到身分的政策。身分型政策可以包含 AWS 受管政策、客戶受管政策和內嵌政策。受 AWS 管政策是由 建立和管理 AWS，您可以使用它們，但無法管理它們。內嵌政策是您建立並接內嵌至 IAM 使用者群組、使用者或角色的政策。內嵌政策無法在其他身分上重複使用，或在其存在的身分之外進行管理。如需詳細資訊，請參閱新增和移除 IAM 身分許可。

一般而言，最好使用客戶受管政策，而不是內嵌政策或 AWS 受管政策。 AWS 受管政策通常提供廣泛的管理或唯讀許可。為了達到最高安全性，應授予最低權限，這表示僅授予執行特定任務工作所需的許可。

當您建立或編輯 IAM 政策時， AWS 可以自動執行政策驗證，以協助您建立最低權限的有效政策。在 中 AWS 管理主控台，IAM 識別 JSON 語法錯誤，而 IAM Access Analyzer 提供額外的政策檢查與建議，以協助您進一步精簡政策。若要進一步了解政策驗證的資訊，請參閱 IAM 政策驗證。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議，請參閱 IAM Access Analyzer 政策驗證。

您可以使用 AWS 管理主控台 AWS CLI或 AWS API 在 IAM 中建立客戶受管政策。如需使用 CloudFormation 範本新增或更新政策的詳細資訊，請參閱CloudFormation 《 使用者指南》中的AWS Identity and Access Management 資源類型參考。