支援終止通知：在 2024 年 10 月 22 日， AWS 將停止對 Amazon Nimble Studio 的支援。2024 年 10 月 22 日之後，您將無法再存取 Nimble Studio 主控台或 Nimble Studio 資源。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Nimble Studio 的身分型政策範例
<a name="security-iam-id-based-policy-examples"></a>

根據預設，使用者和角色沒有建立或修改 Nimble Studio 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 來執行任務。管理員必須建立 IAM 政策，授予使用者和角色對所需資源執行動作的許可。管理員接著必須將這些政策連接至需要這些許可的使用者或群組。

若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策，請參閱《IAM 使用者指南》中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。

**Topics**
+ [政策最佳實務](#security-iam-service-with-iam-policy-best-practices)

## 政策最佳實務
<a name="security-iam-service-with-iam-policy-best-practices"></a>

身分型政策相當強大。他們會判斷是否有人可以在您的帳戶中建立、存取或刪除 Nimble Studio 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時，請遵循下列準則及建議事項：
+  **開始使用 AWS 受管政策** – 若要快速開始使用 Nimble Studio，請使用 AWS 受管政策為您的員工提供所需的許可。這些政策已在您的帳戶中提供，並由 AWS維護和更新。如需詳細資訊，請參閱《IAM 使用者指南》中的[使用許可搭配 AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+  **授予最低權限**：當您建立自訂政策時，請只授予執行任務所需要的許可。以最小一組許可開始，然後依需要授予額外的許可。這比一開始使用太寬鬆的許可，稍後再嘗試將他們限縮更為安全。如需詳細資訊，請參閱《IAM 使用者指南》中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+  **為敏感操作啟用 MFA** – 為了提高安全性， 要求使用者使用多重要素驗證 (MFA) 來存取敏感資源或 API 操作。如需詳細資訊，請參閱《IAM 使用者指南》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+  **使用政策條件來提高安全性** – 在實際可行的範圍內，定義以身分為基礎的政策允許存取資源的條件。例如，您可以撰寫條件，指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件，只在指定的日期或時間範圍內允許請求，或是要求使用 SSL 或 MFA。如需詳細資訊，請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素：條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。