為最低權限許可做好準備

使用最低權限許可是 IAM 的最佳實務建議。最低權限許可的概念是指僅授與使用者執行任務所需的許可，而且無需額外許可。設定完成後，請思考支援最低權限許可的方式。根使用者、管理使用者和緊急存取 IAM 使用者擁有日常工作不需要的強大許可。當您了解 AWS 並測試不同的服務時，我們建議您在 IAM Identity Center 中建立至少一個額外的使用者，並具有較少的許可，您可以在不同的案例中使用。您可以使用 IAM 政策定義特定條件下可對特定資源採取的動作，然後透過權限較低的帳戶連結至這些資源。

如果您使用的是 IAM Identity Center，請考慮使用 IAM Identity Center 許可集來展開行動。若要了解詳情，請參閱《IAM Identity Center 使用者指南》中的建立許可集。

如果您使用的不是 IAM Identity Center，請使用 IAM 角色為不同的 IAM 實體定義許可。如需詳細資訊，請參閱 IAM 角色建立。

IAM 角色和 IAM Identity Center 許可集都可以根據任務函數使用 AWS 受管政策。如需這些政策所授與權限的詳細資訊，請參閱 AWS 任務函數的 受管政策。

當您開始使用時，我們建議您使用 AWS 受管政策來授予許可。在過了預先定義的閒置期間 (例如 90 天) 後，您可以檢閱人員和工作負載存取過的服務。然後，您可以建立新的客戶受管政策，並降低取代 AWS 受管政策的許可。新的政策應僅包含範例期間內存取的服務。更新您的許可以移除 AWS 受管政策，並連接您建立的新客戶受管政策。