受管政策與內嵌政策

當您在 IAM 中為身分設定許可時，必須決定要使用 AWS 受管政策、客戶管理政策還是內嵌政策。以下幾個主題提供了有關每個類型的身分型政策以及使用時機的更多資訊。

AWS 受管政策

「AWS 受管政策」為獨立的政策，由 AWS 建立並管理。獨立政策表示政策有自己的 Amazon Resource Name (ARN)，其中包含政策名稱。例如，arn:aws:iam::aws:policy/IAMReadOnlyAccess 是一種 AWS 受管政策。如需有關 ARN 的詳細資訊，請參閱 IAM ARN。如需 AWS 服務的 AWS 受管政策清單，請參閱 AWS 受管政策。

AWS 受管政策讓您能夠方便地將適當的許可指派給使用者、IAM 群組和角色。這比您自己撰寫政策更快，並且包含常見使用案例的許可。

您無法更改 AWS 受管政策中定義的許可。AWS 有時會更新 AWS 受管政策中定義的許可。當 AWS 執行此操作時，更新會影響政策連接的所有主體實體 (IAM 使用者、IAM 群組和 IAM 角色)。在推出新的 AWS 服務或為現有服務提供新的 API 呼叫時，AWS 很可能會更新 AWS 受管政策。例如，名為 ReadOnlyAccess 的 AWS 受管政策提供針對所有 AWS 服務和資源的唯讀存取許可。在 AWS 推出新的服務時，AWS 將更新 ReadOnlyAccess 政策，以便為新服務加入唯讀許可。更新的許可會套用於政策連接到的所有主體實體。

完整存取 AWS 受管政策：這些政策透過將完整存取授予給服務來定義服務管理員的許可。範例包括：

進階使用者 AWS 受管政策：這些政策提供 AWS 服務和資源的完整存取權，但不允許管理使用者和 IAM 群組。範例包括：

部分存取 AWS 受管政策：這些政策提供 AWS 服務的特定級別存取權，無需允許許可管理存取級別許可。範例包括：

任務職能 AWS 受管政策：這些政策與 IT 業界的常用工作職能緊密貼合，並有助於為這些工作職能授予許可。使用工作職能政策的一個重要優勢是，在推出新的服務和 API 操作時，AWS 可對這些政策進行維護和更新。例如，AdministratorAccess 工作職能提供對 AWS 中的每個服務和資源的完整存取權和許可委派。我們建議僅將此政策用於帳戶管理員。對於高階使用者 (除了 IAM 與 Organizations 的有限存取權以外，需要所有服務的完整存取權)，請使用 PowerUserAccess 任務角色。如需有關工作職能政策的清單和說明，請參閱任務函数的 AWS 受管政策。

下圖說明 AWS 受管政策。該圖顯示三個 AWS 受管政策：AdministratorAccess、PowerUserAccess 和 AWSCloudTrail_ReadOnlyAccess。請注意，單一 AWS 受管政策可以連接到不同 AWS 帳戶 中的主體實體，也可以連接到單一 AWS 帳戶 中的不同主體實體。

客戶管理政策

您可以在自己的 AWS 帳戶中建立獨立的政策，這些政策可連接至主體實體 (IAM 使用者、IAM 群組和 IAM 角色)。您可以針對特定使用案例建立這些客戶管理政策，並且可以隨時進行變更和更新。與 AWS 受管政策相同，將政策連接到主體實體時，便向實體授予了政策中定義的許可。更新政策中的許可時，變更會套用於政策連接到的所有主體實體。

建立客戶管理政策的理想方式是從複製一個現有 AWS 受管政策開始。這樣從一開始您就可以確信政策是正確的，只需根據您的環境進行自訂即可。

下圖說明客戶管理政策。每個政策都是 IAM 中的一個實體，有自己的 Amazon Resource Name (ARN)，其中包含政策名稱。請注意，同一政策可以連接到多個主體實體，例如，同一個 DynamoDB-books-app 政策可連接到兩個不同的 IAM 角色。

如需詳細資訊，請參閱 使用客戶管理政策定義自訂 IAM 許可

內嵌政策

內嵌政策是為單個 IAM 身分 (使用者、使用者群組或角色) 建立的政策。內嵌政策可在政策與身分之間維持嚴格的一對一關聯性。當您刪除身分時，它們即會被刪除。在建立身分時或在建立之後，您可以建立政策並將其嵌入身分。如果政策可套用至多個實體，最好使用受管政策。

下圖說明內嵌政策。每個政策都是使用者、組或角色的固有部分。請注意，兩個角色包含同一政策 (DynamoDB-books-app 政策)，但是它們不共用單一政策。每個角色都有自己的政策複本。