本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AMS 自动化 IAM 配置权限边界检查 AMS 权限边界检查可帮助您遵守 AMS 提供的默认权限边界政策。此策略列出了 AMS 自动 IAM 配置拒绝的操作。包含这些受限操作的配置策略需要额外的明确风险承受能力。在此处下载政策:[boundary-policy.zip](samples/boundary-policy.zip)。 使用客户定义的权限边界策略检查来自定义 AMS 权限边界策略默认值之外的拒绝操作。当您使用以下更改类型加入 AMS 自动 IAM 配置时:管理 \| 托管账户 \| 具有读写权限的 AMS 自动 IAM 配置 \| [启用(托管自动化)(](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf),您可以包括指定其他受限操作的自定义拒绝操作列表。 您可以使用更改类型更新拒绝操作列表:管理 \| 托管账户 \| 具有读写权限的自动 IAM 配置 \| [更新自定义拒绝列表](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0)。您必须使用专用 IAM 角色`AWSManagedServicesIAMProvisionAdminRole`才能运行此更改类型。 **注意** 您必须为每次更新提供一份完整的拒绝操作列表。以前的列表被新列表所取代。 拒绝操作列表必须仅包含要拒绝的操作。不支持允许操作。 拒绝操作列表作为名为的 IAM 托管策略位于账户中`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`。该策略不得附加到任何角色上。 与 IAM *权限边界*相比,用于表示 AMS 自动 IAM 配置中被拒绝的操作的术语具有不同的上下文含义。IAM 权限边界设置了策略在运行时可以向 IAM 实体授予的最大权限。有关 IAM 权限边界的更多信息,请参阅*AWS Identity and Access Management 用户指南*中的[策略类型](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)。AMS 自动 IAM 配置中的权限边界会阻止您配置包含特定权限集(例如被拒绝的操作列表)的 IAM 策略。