本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 更新角色的許可
<a name="id_roles_update-role-permissions"></a>

使用下列程序來更新角色的許可政策和許可界限。

## 先決條件：檢視角色存取
<a name="roles-modify_prerequisites"></a>

變更角色的許可之前，您應該檢閱其最近的服務層級活動。這很重要，因為您不希望從正在使用該許可的主體 (人員或應用程式) 中移除存取。如需有關檢視上次存取的資訊的詳細資訊，請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。

## 更新角色的許可政策
<a name="id_roles_update-role-permissions-policy"></a>

若要變更角色允許的許可，請修改角色的許可政策 (或政策)。您無法修改 IAM 中*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的許可政策。您也許可以修改該服務 (取決於角色) 內的許可政策。若要檢查服務是否支援這項功能，請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)，並且尋找 **Service-linked roles (服務連結的角色)** 資料列為 **Yes (是)** 的服務。選擇具有連結的 **Yes (是)**，以檢視該服務的服務連結角色文件。

### 更新角色許可政策 (主控台)
<a name="id_roles_update-role-permissions-policy-console"></a>

**變更角色允許的許可 (主控台)**

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在 IAM 主控台的導覽窗格中，選擇 **Roles** (角色)。

1. 選擇您要修改的角色的名稱，然後選擇 **Permissions (許可)** 標籤。

1. 執行下列任一步驟：
   + 若要編輯現有客戶受管政策，請選擇政策名稱，然後選擇 **Edit policy (編輯政策)**。
**注意**  
您無法編輯具有 AWS 圖示 (![\[Orange cube icon indicating a policy is managed by AWS.\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/policy_icon.png)) 的 受 AWS 管 AWS 政策。如需 AWS 受管政策與客戶受管政策之間差異的詳細資訊，請參閱 [受管政策與內嵌政策](access_policies_managed-vs-inline.md)。
   + 若要將現有受管政策連接至角色，請選擇 **Add permissions** (新增許可)，然後選擇 **Attach policies** (連接政策)。
   + 若要編輯現有內嵌政策，請展開政策，然後選擇 **Edit** (編輯)。
   + 若要嵌入新的內嵌政策，請選擇 **Add permissions** (新增許可)，然後選擇 **Create inline policy** (建立內嵌政策)。
   + 若要從角色移除現有政策，請選取政策名稱旁的核取方塊，然後選擇**移除**。

### 更新角色許可政策 (AWS CLI)
<a name="id_roles_update_permissions-policy-cli"></a>

若要變更角色允許的許可，請修改角色的許可政策 (或政策)。您無法修改 IAM 中*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的許可政策。您也許可以修改該服務 (取決於角色) 內的許可政策。若要檢查服務是否支援這項功能，請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)，並且尋找 **Service-linked roles (服務連結的角色)** 資料列為 **Yes (是)** 的服務。選擇具有連結的 **Yes (是)**，以檢視該服務的服務連結角色文件。

**若要變更角色允許的許可 (AWS CLI)**

1. (選用) 若要檢視與角色關聯的目前許可，請執行下列命令：

   1. [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html) 列出內嵌政策

   1. [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html) 列出受管政策

1. 更新角色許可的命令會有所不同，具體取決於您是要更新受管政策還是內嵌政策。

   若要更新受管政策，請執行下列命令來建立新版本的受管政策：
   + [aws iam create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

   若要更新內嵌政策，請執行下列命令：
   + [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

### 更新角色許可政策 (AWS API)
<a name="id_roles_update_permissions-policy-api"></a>

若要變更角色允許的許可，請修改角色的許可政策 (或政策)。您無法修改 IAM 中*[服務連結角色](id_roles.md#iam-term-service-linked-role)*的許可政策。您也許可以修改該服務 (取決於角色) 內的許可政策。若要檢查服務是否支援這項功能，請參閱[AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)，並且尋找 **Service-linked roles (服務連結的角色)** 資料列為 **Yes (是)** 的服務。選擇具有連結的 **Yes (是)**，以檢視該服務的服務連結角色文件。

**變更角色允許的許可 (AWS API)**

1. (選用) 若要檢視與角色關聯的目前許可，請呼叫下列操作：

   1. [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html) 列出內嵌政策

   1. [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html) 列出受管政策

1. 更新角色許可的操作會有所不同，具體取決於您是要更新受管政策還是內嵌政策。

   若要更新受管政策，請呼叫下列操作來建立新版本的受管政策：
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

   若要更新內嵌政策，請呼叫下列操作：
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## 更新角色的許可界限
<a name="id_roles_update-role-permissions-boundary"></a>

若要變更角色適用的許可上限，請修改角色的[許可界限](access_policies_boundaries.md)。

### 更新角色許可界限 (主控台)
<a name="id_roles_update-permissions-boundary-console"></a>

**變更用於設定角色許可界限的政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**。

1. 選擇您想要為其變更[許可界限](access_policies_boundaries.md)的角色名稱。

1. 選擇 **Permissions (許可)** 標籤。如有必要，開啟 **許可界限** 區段，然後選擇 **變更界限**。

1. 選擇要用於許可界限的政策。

1. 選擇 **Change boundary (變更界限)**。

   在下次有人擔任此角色之前，您的變更不會生效。

### 更新角色許可界限 (AWS CLI)
<a name="id_roles_update_permissions-boundary-cli"></a>

**變更用於設定角色許可界限的受管政策 (AWS CLI)**

1. (選用) 若要檢視角色的目前[許可界限](access_policies_boundaries.md)，請執行下列命令：
   + [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)

1. 若要使用不同的受管政策來更新角色的許可界限，請執行下列命令：
   + [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

   角色只能有一個受管政策設定為許可界限。您若變更許可界限，您會變更角色適用的許可上限。

### 更新角色許可界限 (AWS API)
<a name="id_roles_update-permissions-boundary-api"></a>

**變更用於設定角色 (AWS API) 許可界限的受管政策**

1. (選用) 若要檢視角色的目前[許可界限](access_policies_boundaries.md)，請呼叫下列操作：
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. 若要使用不同的受管政策來更新角色的許可界限，請呼叫下列操作：
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

   角色只能有一個受管政策設定為許可界限。您若變更許可界限，您會變更角色適用的許可上限。