本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 受管理的政策 AWS 資源總管
<a name="security_iam_awsmanpol"></a>

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限，以便您可以開始將權限指派給使用者、群組和角色。

請記住， AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限，因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限，則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時，最有可能更新 AWS 受管理策略。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

**包含資源總 AWS 管權限的一般受管原則**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— 授予對 AWS 服務 資源的完全訪問權限。
+ [ReadOnly存取權](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — 授 AWS 服務 與資源的唯讀存取權。
+ [ViewOnly存取](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — 授與檢視的資源和基本中繼資料的權限 AWS 服務。
**注意**  
包含在`ViewOnlyAccess`原則中的 Resource Explorer `Get*` 權限會執行類似`List`權限，雖然它們只會傳回單一值，因為 [區域] 只能包含一個索引和一個預設檢視。

**AWS 資源總管的受管理策略**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)

## AWS 受管理策略： AWSResourceExplorerFullAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerFullAccess"></a>

您可以將`AWSResourceExplorerFullAccess`政策指派給您的 IAM 身分。

此原則會授與允許資源總管服務完整系統管理控制權的權限。您可以在帳戶中執行與開啟和管理資源總管相關的 AWS 區域 所有工作。

**許可詳細資訊**

此原則包含允許資源總管執行所有動作的權限，包括在中開啟和關閉資源總管 AWS 區域、建立或刪除帳號的彙總器索引、建立、更新和刪除檢視，以及搜尋。此原則也包含不屬於資源總管一部分的權限：
+ `ec2:DescribeRegions`-允許資源總管訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 可讓資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `iam:CreateServiceLinkedRole`— 當您[透過建立第一個索引來開啟資源總管時，可讓資源總管建立](manage-service-turn-on-region.md#manage-service-turn-on-region-region)必要的服務連結角色。
+ `organizations:DescribeOrganization`— 允許資源總管存取組織的相關資訊。

若要查看此 AWS 受管理策略的最新版本，請參閱《*AWS 受管策略參考指南》`[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)`*中的。

## AWS 受管理策略： AWSResourceExplorerReadOnlyAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess"></a>

您可以將`AWSResourceExplorerReadOnlyAccess`政策指派給您的 IAM 身分。

此原則會授與唯讀權限，允許使用者進行基本搜尋存取權以探索其資源。

**許可詳細資訊**

此原則包括允許使用者執行 Resource Explorer 的權限 `Get*``List*`，以及檢視資源總管元件和組態設定相關資訊的`Search`作業，但不允許使用者變更它們。使用者也可以搜尋。此原則也包含兩個不屬於資源總管的權限：
+ `ec2:DescribeRegions`-允許資源總管訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 可讓資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `organizations:DescribeOrganization`— 允許資源總管存取組織的相關資訊。

若要查看此 AWS 受管理策略的最新版本，請參閱《*AWS 受管策略參考指南》`[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)`*中的。

## AWS 受管理策略： AWSResourceExplorerServiceRolePolicy
<a name="security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy"></a>

您無法自行附加`AWSResourceExplorerServiceRolePolicy`至任何 IAM 實體。此原則只能附加至允許 Resource Explorer 代表您執行動作的服務連結角色。如需詳細資訊，請參閱 [針對資源總管使用服務連結角色](security_iam_service-linked-roles.md)。

此原則會授與資源總管擷取資源相關資訊所需的權限。資源總管填充它在您註冊的每個 AWS 區域 索引中維護。

若要查看此 AWS 受管政策的最新版本，請參閱 IAM 主控台`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`中的。

## AWS 受管理策略： AWSResourceExplorerOrganizationsAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerOrganizationsAccess"></a>

您可以指派`AWSResourceExplorerOrganizationsAccess`給您的 IAM 身分。

此原則會將系統管理權限授與資源總管，並將唯讀權限授與其他人， AWS 服務 以支援此存取。管理 AWS Organizations 員需要這些權限才能在主控台中設定和管理多帳戶搜尋。

**許可詳細資訊**

此原則包含允許系統管理員為組織設定多帳戶搜尋的權限：
+ `ec2:DescribeRegions`— 允許資源瀏覽器訪問有關您帳戶中區域的詳細信息。
+ `ram:ListResources`— 允許資源總管列出資源屬於資源的資源共用。
+ `ram:GetResourceShares`— 允許資源總管識別有關您擁有或與您共用之資源共用的詳細資料。
+ `organizations:ListAccounts`— 允許資源總管識別組織內的帳號。
+ `organizations:ListRoots`— 允許資源總管識別組織內的根帳號。
+ `organizations:ListOrganizationalUnitsForParent`— 允許資源總管識別父組織單位或根目錄中的組織單位 (OU)。
+ `organizations:ListAccountsForParent`— 允許資源總管識別組織中指定目標根目錄或 OU 所包含的帳號。
+ `organizations:ListDelegatedAdministrators`— 允許資源總管識別在此組織中指定為委派管理員的 AWS 帳號。
+ `organizations:ListAWSServiceAccessForOrganization`— 允許資源總管識別已啟用 AWS 服務 可與您的組織整合的清單。
+ `organizations:DescribeOrganization`— 允許資源總管擷取使用者帳號所屬組織的相關資訊。
+ `organizations:EnableAWSServiceAccess`— 允許資源總管啟用與 AWS 服務 (由指定的服務`ServicePrincipal`) 的整合 AWS Organizations。
+ `organizations:DisableAWSServiceAccess`— 允許資源總管停用與 AWS 服務 (由指定的服務 ServicePrincipal) 的整合 AWS Organizations。
+ `organizations:RegisterDelegatedAdministrator`— 允許資源總管啟用指定的成員帳戶來管理指定 AWS 服務的組織功能。
+ `organizations:DeregisterDelegatedAdministrator`— 允許資源總管以指定的委派管理員 AWS 帳戶 身分移除指定的成員 AWS 服務。
+ `iam:GetRole`— 允許資源總管擷取有關指定角色的資訊，包括角色的路徑、GUID、ARN 以及授與承擔角色之權限的角色信任原則。
+ `iam:CreateServiceLinkedRole`— 當您[透過建立第一個索引來開啟資源總管時，允許資源總管建立](manage-service-turn-on-region.md#manage-service-turn-on-region-region)必要的服務連結角色。

若要查看此 AWS 受管政策的最新版本，請參閱 IAM 主控台`[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)`中的。

## AWS 受管理策略的資源總管更新
<a name="security_iam_awsmanpol_updates"></a>

檢視資源總 AWS 管受管理策略的詳細資料，因為這項服務開始追蹤這些變更。如需有關此頁面變更的自動警示，請訂閱[資源瀏覽器文件歷程記錄](doc-history.md)頁面上的 RSS 摘要。


| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略權限以查看其他資源類型  |  Resource Explorer 將權限新增至服務連結角色原則 [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)，讓資源總管檢視其他資源類型： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 12 月 12 日 | 
|  新的 受管政策  |  資源總管新增下列 AWS 受管理的策略： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  已更新 受管政策  |  資源總管更新了下列 AWS 受管理的策略，以支援多帳號搜尋： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了政策以支持與 Organizations 的多帳戶搜索  |  Resource Explorer 將權限新增至服務連結角色原則，`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許資源總管支援 Organizations 的多帳號搜尋： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 11 月 14 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型  |  Resource Explorer 將權限新增至服務連結角色原則，`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 10 月 17 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型  |  Resource Explorer 將權限新增至服務連結角色原則，`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 8 月 1 日 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)-更新了策略以支持其他資源類型  |  Resource Explorer 將權限新增至服務連結角色原則，`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`該策略允許服務對下列資源類型建立索引： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2023 年 3 月 7 日 | 
| 新受管政策 |  資源總管新增下列 AWS 受管理的策略： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 2022 年 11 月 7 日 | 
|  資源總管開始追蹤變更  |  資源總管開始追蹤其 AWS 受管理策略的變更。  | 2022 年 11 月 7 日 |