本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 受管和客戶受管政策的自訂許可
您可以建立具有**自訂許可**的許可集,結合您在 AWS Identity and Access Management (IAM) 中擁有的任何 AWS 受管和客戶受管政策以及內嵌政策。您也可以包含許可界限,設定其他政策可授予許可集使用者的最大可能許可。
如需如何建立許可集的說明,請參閱 [建立、管理和刪除許可集](permissionsets.md)。
**您可以連接到許可集的政策類型**
**Topics**
+ [內嵌政策](#permissionsetsinlineconcept)
+ [AWS 受管政策](#permissionsetsampconcept)
+ [客戶管理政策](#permissionsetscmpconcept)
+ [許可界限](#permissionsetsboundaryconcept)
## 內嵌政策
您可以將*內嵌政策*連接至許可集。內嵌政策是格式化為您直接新增至許可集之 IAM 政策的文字區塊。您可以在建立新許可集時,使用 IAM Identity Center 主控台中的政策建立工具貼上政策,或產生新的政策。您也可以使用政策[AWS 產生器建立 IAM 政策](https://awspolicygen.s3.amazonaws.com/policygen.html)。
當您部署具有內嵌政策的許可集時,IAM Identity Center 會在您指派許可集 AWS 帳戶 的 中建立 IAM 政策。當您將許可集指派給帳戶時,IAM Identity Center 會建立政策。然後,該政策會連接到 AWS 帳戶 使用者所擔任之 中的 IAM 角色。
當您建立內嵌政策並指派許可集時,IAM Identity Center 會 AWS 帳戶 為您在 中設定政策。當您使用 建置許可集時[客戶管理政策](#permissionsetscmpconcept),您必須先在 AWS 帳戶 自己的 中建立政策,才能指派許可集。
## AWS 受管政策
您可以將*AWS 受管政策*連接至您的許可 set. AWS managed 政策是 AWS 維護的 IAM 政策。相反地, [客戶管理政策](#permissionsetscmpconcept)是您帳戶中建立和維護的 IAM 政策。 AWS 受管政策可解決您 中常見的最低權限使用案例 AWS 帳戶。您可以指派 AWS 受管政策做為 IAM Identity Center 建立之角色的許可,或做為[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
AWS 會維護[AWS 任務函數的受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html),將任務特定的存取許可指派給您的 AWS 資源。當您選擇將**預先定義的許可**與許可集搭配使用時,可以新增一個任務函數政策。選擇**自訂許可**時,您可以新增多個任務函數政策。
您的 AWS 帳戶 也包含適用於特定 AWS 服務 和 組合的大量 AWS 受管 IAM 政策 AWS 服務。當您建立具有**自訂許可**的許可集時,您可以從許多其他 AWS 受管政策中選擇要指派給許可集。
AWS AWS 帳戶 會使用 AWS 受管政策填入每個 。若要部署具有 AWS 受管政策的許可集,您不需要先在 中建立政策 AWS 帳戶。當您使用 建置許可集時[客戶管理政策](#permissionsetscmpconcept),您必須先在 AWS 帳戶 自己的 中建立政策,才能指派許可集。
如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## 客戶管理政策
您可以將*客戶受管政策*連接至您的許可集。客戶受管政策是您建立和維護之帳戶中的 IAM 政策。相反地, [AWS 受管政策](#permissionsetsampconcept)是您帳戶中 AWS 維護的 IAM 政策。您可以指派客戶受管政策做為 IAM Identity Center 建立之角色的許可,或做為[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
當您使用客戶受管政策建立許可集時,您必須在 IAM Identity Center 指派許可集 AWS 帳戶 的每個 中建立具有相同名稱和路徑的 IAM 政策。如果您要指定自訂路徑,請務必在每個路徑中指定相同的路徑 AWS 帳戶。如需詳細資訊,請參閱《IAM 使用者指南》中的[易記名稱和路徑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names)。IAM Identity Center 會將 IAM 政策連接至其在 中建立的 IAM 角色 AWS 帳戶。最佳實務是,將相同的許可套用至您指派許可集的每個帳戶中的政策。如需詳細資訊,請參閱[在許可集中使用 IAM 政策](howtocmp.md)。
**注意**
當客戶受管政策連接到許可集時,政策的名稱不區分大小寫。
如需詳細資訊,請參閱《IAM 使用者指南》中的[客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。
## 許可界限
您可以將*許可界限*連接至您的許可集。許可界限是 AWS 受管或客戶受管 IAM 政策,可設定身分型政策可授予 IAM 主體的最大許可。當您套用許可界限時,您的 [內嵌政策](#permissionsetsinlineconcept)、 [客戶管理政策](#permissionsetscmpconcept)和 [AWS 受管政策](#permissionsetsampconcept)無法授予超過許可界限所授予許可的任何許可。許可界限不會授予任何許可,而是讓 IAM 忽略超出界限的所有許可。
當您使用客戶受管政策建立許可集做為許可界限時,您必須在 IAM Identity Center 指派許可集 AWS 帳戶 的每個 中建立具有相同名稱的 IAM 政策。IAM Identity Center 會將 IAM 政策做為許可界限連接至其在 中建立的 IAM 角色 AWS 帳戶 。
如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。