本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS Amplify
<a name="security-iam-awsmanpol"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管策略： AdministratorAccess-Amplify
<a name="security-iam-awsmanpol-AdministratorAccess-Amplify"></a>

您可以将 `AdministratorAccess-Amplify` 策略附加到 IAM 身份。Amplify 还会将此策略附加到服务角色，允许 Amplify 代表您执行操作。

在 Amplify 控制台中部署后端时，必须创建一个`Amplify-Backend Deployment`服务角色，Amplify 使用该角色来创建和管理资源。 AWS IAM 将 `AdministratorAccess-Amplify` 托管策略附加到 `Amplify-Backend Deployment` 服务角色。

此策略授予账户管理权限，同时明确允许直接访问 Amplify 应用创建和管理后端所需的资源。

**权限详细信息**

此策略提供对多种 AWS 服务的访问权限，包括 IAM 操作。这些操作允许使用 AWS Identity and Access Management 此策略的身份创建具有任何权限的其他身份。这允许升级权限，此策略应视为与 `AdministratorAccess` 策略一样强大。

该策略向所有资源授予 `iam:PassRole` 操作权限。这是支持 Amazon Cognito 用户群体配置所必需的。

要查看此策略的权限，请参阅《*AWS 托管策略*参考》中的 [AdministratorAccess-Amplify](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess-Amplify.html)。

## AWS 托管策略： AmplifyBackendDeployFullAccess
<a name="security-iam-awsmanpol-AmplifyBackendDeployFullAccess"></a>

您可以将 `AmplifyBackendDeployFullAccess` 策略附加到 IAM 身份。

此政策授予 Amplify 使用部署 Amplify 后端资源的完全访问权限。 AWS Cloud Development Kit (AWS CDK)权限将延迟到具有必要`AdministratorAccess`策略权限的 AWS CDK 角色。

**权限详细信息**

此策略包括执行以下操作的权限。
+ `Amplify` – 检索有关已部署应用程序的元数据。
+ `CloudFormation` – 创建、更新和删除 Amplify 托管的堆栈。
+ `SSM` – 创建、更新和删除 Amplify 托管的 SSM Parameter Store `String` 和 `SecureString` 参数。
+ `AWS AppSync`— 更新和检索 AWS AppSync 架构、解析器和函数资源。目的是支持 Gen 2 沙盒热交换功能。
+ `Lambda` – 更新和检索 Amplify 托管函数的配置。目的是支持 Gen 2 沙盒热交换功能。

  检索 Lambda 函数的标签。其目的在于支持客户定义的 Lambda 函数。
+ `Amazon S3` – 检索 Amplify 部署资产。
+ `AWS Security Token Service`— 允许 AWS Cloud Development Kit (AWS CDK) CLI 担任部署角色。
+ `Amazon RDS` – 读取数据库实例、集群和代理的元数据。
+ `Amazon EC2` – 读取子网的可用区信息。
+ `CloudWatch Logs` – 检索客户的 Lambda 函数的日志。目的是允许 Amplify 云开发沙盒环境将 Lambda 函数的日志流式传输到客户的终端。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AmplifyBackendDeployFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmplifyBackendDeployFullAccess.html)**。

## Amplify 对托管策略的 AWS 更新
<a name="security-iam-awsmanpol-updates"></a>



查看有关 Amplify AWS 托管政策自该服务开始跟踪这些变更以来这些更新的详细信息。要获得有关此页面更改的自动提示，请订阅 [的文档历史记录 AWS Amplify](document-history.md) 页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加对 `logs:FilterLogEvents` 资源的读取权限，以允许 Amplify 从创建自定义日志组的函数流式传输日志。这是对流式传输 Lambda 函数日志的现有功能的扩展。 | 2024 年 11 月 14 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加对 `lambda:ListTags` 和 `logs:FilterLogEvents` 资源的读取权限，以支持客户定义的 Lambda 函数。这些权限允许 Amplify 云开发沙盒环境将 Lambda 函数的日志流式传输到客户的终端。 | 2024 年 7 月 18 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加对 `arn:aws:ssm:*:*:parameter/cdk-bootstrap/*` 资源的读取权限，允许 Amplify 检测客户账户中的 CDK 引导版本。 | 2024 年 5 月 31 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加新的 `AmplifyDiscoverRDSVpcConfig` 策略声明，其中包含 Amazon RDS 和 Amazon EC2 只读权限，其范围由资源和账户条件决定。这些权限支持 Amplify Gen 2 `npx amplify generate schema-from-database` 命令，该命令允许客户基于现有 SQL 数据库生成 Typescript 数据架构。<br />添加 `rds:DescribeDBProxies`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`、`rds:DescribeDBSubnetGroups` 和 `ec2:DescribeSubnets` 权限。该`npx amplify generate schema-from-database`命令需要这些权限来检查指定的数据库主机是否托管在 Amazon RDS 中，并自动生成预置设置由 SQL 数据库支持的 AWS AppSync API 所需的其他资源所需的 Amazon VPC 配置。 | 2024 年 4 月 17 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加 `cloudformation:DeleteStack` 策略操作，以支持在调用 `DeleteBranch` API 时删除堆栈。<br />添加 `lambda:GetFunction` 策略操作，以支持热交换功能。<br />添加 `lambda:UpdateFunctionConfiguration` 策略操作，以支持 Lambda 函数。 | 2024 年 4 月 5 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加`cloudformation:TagResource`和`cloudformation:UnTagResource`权限以支持调用 CloudFormation APIs。 | 2024 年 4 月 4 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加支持 AWS Cloud Development Kit (AWS CDK) 热交换的`lambda:InvokeFunction`策略操作。直接调用 Lambda 函数来执行 Amazon S3 资产热交换。 AWS CDK <br />添加 `lambda:UpdateFunctionCode` 策略操作，以支持热交换功能。 | 2024 年 1 月 2 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加策略操作以支持该 `UpdateApiKey` 操作。退出并重新启动沙盒后，要想在不删除资源的情况下成功部署应用程序，就必须执行此操作。 | 2023 年 11 月 17 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：对现有策略的更新 | 添加支持 Amplify 应用程序部署的 `amplify:GetBackendEnvironment` 权限。 | 2023 年 11 月 6 日 | 
| [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess)：新策略 | Amplify 添加了一项新策略，该策略拥有部署 Amplify 后端资源所需的最低权限。 | 2023 年 10 月 8 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加 Amplify 命令行界面 (CLI) 所需的 ecr:DescribeRepositories 权限。 | 2023 年 6 月 1 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加一项策略操作以支持从 AWS AppSync 资源中移除标签。<br />添加一项策略操作以支持 Amazon Polly 资源。<br />添加策略操作以支持更新 OpenSearch 域配置。<br />添加一项策略操作以支持从 AWS Identity and Access Management 角色中移除标签。<br />添加一项策略操作以支持从 Amazon DynamoDB 资源中移除标签。<br />向 `CLISDKCalls` 语句块中添加 `cloudfront:GetCloudFrontOriginAccessIdentity` 和 `cloudfront:GetCloudFrontOriginAccessIdentityConfig` 权限以支持 Amplify 发布和托管工作流程。<br />向 `CLIManageviaCFNPolicy` 语句块添加 `s3:PutBucketPublicAccessBlock` 权限，以允许 AWS CLI 支持 Amazon S3 安全最佳实践，即在内部存储桶上启用 Amazon S3 屏蔽公共访问权限功能。<br />向`CLISDKCalls`语句块添加`cloudformation:DescribeStacks`权限以支持在 Amplify 后端处理器中重试时检索客户的 CloudFormation 堆栈，从而避免在堆栈更新时重复执行。<br />向 `CLICloudformationPolicy` 语句块添加 `cloudformation:ListStacks` 权限。需要此权限才能完全支持该 CloudFormation DescribeStacks 操作。 | 2023 年 2 月 24 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加政策操作，允许 Amplify 服务器端渲染功能将应用程序指标推送到客户的服务器端渲染 CloudWatch 中。 AWS 账户 | 2022 年 8 月 30 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加策略操作以屏蔽公共访问 Amplify 部署 Amazon S3 存储桶。 | 2022 年 4 月 27 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加一项操作以允许客户删除其服务器端渲染 (SSR) 应用程序。这也允许成功删除相应的 CloudFront分发。<br />添加一项操作以允许客户使用 Amplify CLI 指定不同的 Lambda 函数，从而处理来自现有事件源的事件。通过这些更改， AWS Lambda 将能够执行[UpdateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/dg/API_UpdateEventSourceMapping.html)操作。 | 2022 年 4 月 17 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加一项策略操作以在所有资源上启用 Amplify UI Builder 操作。 | 2021 年 12 月 2 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加一项策略操作以支持使用社交身份提供商的 Amazon Cognito 身份验证功能。<br />添加一项策略操作以支持 Lambda 层。<br />添加一项策略操作以支持 Amplify 存储类别。 | 2021 年 11 月 8 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 添加 Amazon Lex 操作以支持 Amplify 交互类别。<br />添加 Amazon Rekognition 操作以支持 Amplify 预测类别。<br />添加 Amazon Cognito 操作以支持 Amazon Cognito 用户群体上的 MFA 配置。<br />添加 CloudFormation 操作以获得支持 CloudFormation StackSets。<br />添加 Amazon Location Service 操作以支持 Amplify 地理位置类别。<br />添加 Lambda 操作以支持 Amplify 中的 Lambda 层。<br />添加 CloudWatch 日志操作以支持 CloudWatch 事件。<br />添加 Amazon S3 操作以支持 Amplify 存储类别。<br />添加策略操作以支持服务器端渲染 (SSR) 应用程序。 | 2021 年 9 月 27 日 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) — 更新现有政策 | 将所有 Amplify 操作合并为一项 `amplify:*` 操作。<br />添加 Amazon S3 操作以支持加密客户的 Amazon S3 存储桶。<br />添加 IAM 权限边界操作以支持启用了权限边界的 Amplify 应用程序。<br />添加 Amazon SNS 操作以支持查看起始电话号码，以及查看、创建、验证和删除目标电话号码。<br />Amplify Studio：添加亚马逊 Cognito AWS Lambda、IAM CloudFormation 和策略操作，以便在 Amplify 控制台和 Amplify Studio 中管理后端。<br />添加 AWS Systems Manager (SSM) 策略声明以管理 Amplify 环境密钥。<br />添加一个 CloudFormation `ListResources`操作以支持 Amplify 应用程序的 Lambda 图层。 | 2021 年 7 月 28 日 | 
| Amplify 已开启跟踪更改 | Amplify 开始跟踪其 AWS 托管策略的变更。 | 2021 年 7 月 28 日 |