本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 編輯 IAM 政策
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。政策會以 JSON 文件 AWS 形式存放在 中,並以*身分型政策*的形式連接到 IAM 中的委託人。您可以將以身分為基礎的政策連接到主體 (或身分),例如 IAM 使用者群組、使用者或角色。身分型政策包括 AWS 受管政策、客戶受管政策和[內嵌政策](access_policies_managed-vs-inline.md)。您可以在 IAM.managed 政策中編輯客戶 AWS 受管政策和內嵌政策無法編輯。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
一般而言,最好使用客戶受管政策,而不是內嵌政策或 AWS 受管政策。 AWS 受管政策通常提供廣泛的管理或唯讀許可。內嵌政策無法在其他身分上重複使用,或在其存在的身分之外進行管理。為了達到最高安全性,應[授予最低權限](best-practices.md#grant-least-privilege),這表示僅授予執行特定任務工作所需的許可。
當您建立或編輯 IAM 政策時, AWS 可以自動執行政策驗證,以協助您建立最低權限的有效政策。在 中 AWS 管理主控台,IAM 識別 JSON 語法錯誤,而 IAM Access Analyzer 提供額外的政策檢查與建議,以協助您進一步精簡政策。若要進一步了解政策驗證的資訊,請參閱 [IAM 政策驗證](access_policies_policy-validator.md)。若要進一步了解 IAM Access Analyzer 政策檢查和可動作的建議,請參閱 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
您可以使用 AWS CLI AWS 管理主控台或 AWS API 在 IAM 中編輯客戶受管政策和內嵌政策。如需使用 CloudFormation 範本新增或更新政策的詳細資訊,請參閱*CloudFormation 《 使用者指南*》中的[AWS Identity and Access Management 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。
**Topics**
+ [編輯 IAM 政策 (主控台)](access_policies_manage-edit-console.md)
+ [編輯 IAM 政策 (AWS CLI)](access_policies_manage-edit-cli.md)
+ [編輯 IAM 政策 (AWS API)](access_policies_manage-edit-api.md)
# 編輯 IAM 政策 (主控台)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS 管理主控台 編輯*客戶受管政策和* IAM. AWS managed *政策中的內嵌*政策無法編輯。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (主控台)
您可以透過 AWS 管理主控台來編輯客戶管理政策,以變更政策中定義的許可。客戶受管政策至多可有 5 個版本。這很重要,因為如果您變更受管政策超過 5 個版本,則 AWS 管理主控台 會提示您決定要刪除的版本。您還可以在編輯之前變更預設版本或或刪除政策版本,以避免出現提示。若要進一步了解版本,請參閱 [版本控制 IAM 政策](access_policies_managed-versioning.md)。
------
#### [ Console ]
**編輯客戶管理政策**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要編輯的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇**許可**索引標籤,然後選擇**編輯**。
1. 執行以下任意一項:
+ 選擇**視覺化**選項可變更政策,且無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇**下一步**以繼續。
+ 選擇 **JSON** 選項,可透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與儲存**頁面上,檢視**此政策中定義的許可**,然後選擇**儲存變更**以儲存工作。
1. 如果受管政策有最多五個版本,選擇**儲存變更**可顯示一個對話方塊。若要儲存新版本,該政策的最舊非預設版本會遭到移除,並以此新版本取代之。您也可以將新版本設定為預設的政策版本。
選擇**儲存變更**,可儲存新的政策版本。
------
## 設定客戶管理政策的預設版本 (主控台)
您可以從 設定客戶受管政策的預設版本 AWS 管理主控台。您可以使用此政策為整個組織中的許可建立一致的基準組態。此政策的所有新附件都會使用此標準化許可集。
------
#### [ Console ]
**設定客戶受管政策的預設版本 (主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 在政策清單中,選擇要設定預設版本的政策的政策名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Policy versions (政策版本)** 標籤。選取要設定為預設版本的版本旁的核取方塊,然後選擇 **Set as default (設定為預設)**。
------
## 刪除客戶管理政策的版本 (主控台)
您可能需要刪除客戶管理政策的某個版本,以移除不再需要或存在潛在安全風險的過時或不正確的許可。透過僅維護必要的政策版本,可以協助確保受管政策版本保持在限制的五個以內,為未來的更新和改進留出空間。您可以透過 AWS 管理主控台刪除客戶管理政策的版本。
------
#### [ Console ]
**刪除客戶管理政策的版本**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies** (政策)。
1. 選擇具有要刪除的版本的客戶受管政策的名稱。您可以使用搜尋方塊來篩選政策清單。
1. 選擇 **Policy versions (政策版本)** 標籤。選取要刪除的版本旁的核取方塊。然後選擇 **Delete (刪除)**。
1. 確認您要刪除該版本,然後選擇 **Delete (刪除)**。
------
## 編輯內嵌政策 (主控台)
您可能需要編輯客戶管理政策來更新或精簡授予的許可,確保這些許可符合組織不斷變化的安全需求和存取控制需求。您可以透過對政策進行編輯來調整政策的 JSON 文件,以及新增、修改或移除特定動作、資源或條件,以維護最低權限原則,並適應環境或程序中的變更。您可以從 AWS 管理主控台主控台中編輯內嵌政策。
------
#### [ Console ]
**編輯使用者、使用者群組或角色的內嵌政策**
1. 在服務導覽窗格中,選擇 **User** (使用者)、**Users groups** (使用者群組) 或者 **Roles** (角色)。
1. 選擇您要修改的政策的使用者、 使用者群組或角色的名稱。然後選擇 **Permissions (許可)** 標籤並展開政策。
1. 若要編輯內嵌政策,請選擇 **Edit Policy (編輯政策)**。
1. 執行以下任意一項:
+ 選擇**視覺化**選項可變更政策,且無需了解 JSON 語法。您可以變更政策中每個許可區塊的服務、動作、資源或可選條件。您也可以匯入政策以在政策底部新增其他許可。完成變更後,選擇**下一步**以繼續。
+ 選擇 **JSON** 選項,可透過在 JSON 文字方塊中輸入或貼上文字來修改政策。您也可以匯入政策以在政策底部新增其他許可。解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。若要儲存變更而不影響目前連接的實體,請清除 **Save as default version (儲存為預設版本)** 的核取方塊。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視**頁面上,查看政策摘要,然後選擇**儲存變更**以儲存您的工作。
------
# 編輯 IAM 政策 (AWS CLI)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS Command Line Interface (AWS CLI) 編輯*客戶受管政策*,且無法編輯 IAM. AWS managed *政策中的內嵌*政策。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (AWS CLI)
您可以從 編輯客戶受管政策 AWS CLI。
**注意**
受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。
**若要編輯客戶受管政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 列出受管政策:[list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
+ 取得關於受管政策的詳細資訊:[get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請執行下列命令:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
+ 列出連接到身分的受管政策 (使用者、使用者群組或角色):
+ [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
+ [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
+ [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)
1. 若要編輯客戶受管政策,請執行下列命令:
+ [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)
1. (選用) 若要驗證客戶受管政策,請執行下列 IAM Access Analyzer 命令:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
## 設定客戶管理政策的預設版本 (AWS CLI)
您可以從 設定客戶受管政策的預設版本 AWS CLI。
**若要設定客戶受管政策的預設版本 (AWS CLI)**
1. (選用) 若要列出受管政策,請執行下列命令:
+ [: list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
1. 若要設定客戶受管政策的預設版本,請執行下列命令:
+ [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)
## 刪除客戶管理政策的版本 (AWS CLI)
您可以透過 AWS CLI刪除客戶管理政策的版本。
**若要刪除客戶受管政策的版本 (AWS CLI)**
1. (選用) 若要列出受管政策,請執行下列命令:
+ [: list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
1. 若要刪除客戶受管政策,請執行下列命令:
+ [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)
## 編輯內嵌政策 (AWS CLI)
您可以從 AWS CLI主控台中編輯內嵌政策。
**若要編輯內嵌政策 (AWS CLI)**
1. (選用) 若要檢視關於政策的資訊,請執行下列命令:
+ 若要列出與身分 (使用者、使用者群組或角色) 相關聯的內嵌政策:
+ [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
+ [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
+ [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
+ 若要取得關於內嵌政策的詳細資訊:
+ [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
+ [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
+ [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
1. 若要編輯內嵌政策,請執行下列命令:
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
1. (選用) 若要驗證內嵌政策,請執行下列 IAM Access Analyzer 命令:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
# 編輯 IAM 政策 (AWS API)
[政策](access_policies.md)為一個實體,可定義其所連接的身分或資源的許可。您可以使用 AWS API 編輯*客戶受管政策*,且無法編輯 IAM. AWS managed *政策中的內嵌*政策。 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。
如需有關政策結構和語法的詳細資訊,請參閱 [中的政策和許可 AWS Identity and Access Management](access_policies.md) 和 [IAM JSON 政策元素參考](reference_policies_elements.md)。
## 先決條件
變更政策的許可之前,您應該檢閱其最近的服務層級活動。這很重要,因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊,請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
## 編輯客戶受管政策 (AWS API)
您可以使用 AWS API 編輯客戶受管政策。
**注意**
受管政策至多可有 5 個版本。如果您需要變更五個版本以上的客戶受管政策,則必須先刪除一個或多個現有版本。
**編輯客戶受管政策 (AWS API)**
1. (選用) 若要檢視關於政策的資訊,請呼叫下列操作:
+ 列出受管政策:[ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
+ 取得關於受管政策的詳細資訊:[GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)
1. (選用) 如果要了解的政策和身分之間的關係,請呼叫下列操作:
+ 若要列出受管政策所連接的身分 (IAM 使用者、IAM 群組和 IAM 角色):
+ [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
+ 列出連接到身分的受管政策 (使用者、使用者群組或角色):
+ [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
+ [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
+ [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)
1. 若要編輯客戶受管政策,請呼叫下列操作:
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
1. (選用) 若要驗證客戶受管政策,請呼叫下列 IAM Access Analyzer 操作:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)
## 設定客戶受管政策 (AWS API) 的預設版本
您可以從 AWS API 設定客戶受管政策的預設版本。
**設定客戶受管政策 (AWS API) 的預設版本**
1. (選用) 若要列出受管政策,請呼叫下列操作:
+ [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
1. 若要設定客戶受管政策的預設版本,請呼叫下列操作:
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)
## 刪除客戶受管政策 (AWS API) 的版本
您可以從 AWS API 刪除客戶受管政策的版本。
**刪除客戶受管政策 (AWS API) 的版本**
1. (選用) 若要列出受管政策,請呼叫下列操作:
+ [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
1. 若要刪除客戶受管政策,請呼叫下列操作:
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
## 編輯內嵌政策 (AWS API)
您可以從 AWS API 編輯內嵌政策。
**編輯內嵌政策 (AWS API)**
1. (選用) 若要檢視關於內嵌政策的資訊,請執行下列操作:
+ 若要列出與身分 (使用者、使用者群組或角色) 相關聯的內嵌政策:
+ [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
+ [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
+ [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
+ 若要取得關於內嵌政策的詳細資訊:
+ [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
+ [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
+ [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
1. 若要編輯內嵌政策,請執行下列操作:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
1. (選用) 若要驗證內嵌政策,請執行下列 IAM Access Analyzer 操作:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)