本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 管理个人的权限 通过使用权限集、权限边界和 **CloudFormationRole**IAM 角色,您可以限制需要直接分配给各个委托人的权限数量。这有助于您随着公司的发展而管理访问权限,并帮助您应用授予最低权限的安全最佳实践。 您也可以使用*服务相关角色*,它向 AWS 服务授予权限,代表您预置资源。您可以向服务授予权限,而不是向 IAM 主体(用户、用户组或角色)授予权限。例如,的服务相关角色[AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)允许您配置自己的模板、资源和环境,而无需向 IAM 委托人分配权限。有关更多信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 和[使用服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)(IAM 文档)。 另一种最佳实践是限制个人对 AWS 管理控制台的访问权限数量。[通过限制对控制台的访问,您可以要求个人使用基础设施即代码 (IaC) 技术(例如 [HashiCorp Terraform](https://www.terraform.io/) 或 Pulum [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)i)来配置资源。](https://www.pulumi.com/)通过 IaC 管理基础架构,您可以跟踪资源随时间推移而发生的变化,并引入批准变更的机制,例如 GitHub 拉取请求。