本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS 登录
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AmazonManagedSignUpServicePolicy
该`AmazonManagedSignUpServicePolicy`政策授予完成 AWS 账户注册流程所需的权限。
您可以将 `AmazonManagedSignUpServicePolicy` 附加到您的用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ **客户验证**-允许创建、检索和更新客户验证详细信息和资格状态,包括创建上传 URLs 验证文件。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [AmazonManagedSignUpServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonManagedSignUpServicePolicy.html)。
## AWS 托管策略: ApplicationProvisioningPolicy
该 ApplicationProvisioningPolicy 策略授予应用程序配置和身份管理操作的全面权限,包括 IAM 角色和策略管理、SSO 配置和身份存储操作。
您可以将 `ApplicationProvisioningPolicy` 附加到您的用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ **IAM 管理** - 支持全面的 IAM 操作,包括创建、更新和删除角色及策略、管理角色关联以及创建服务关联角色。
+ **Research and Engineering Studio on AWS** - 支持对所有 Research and Engineering Studio on AWS 资源执行操作。
+ **角色传递** - 支持将 IAM 角色传递给其他服务。
+ **IAM Identity Center** - 支持管理 IAM Identity Center 实例、应用程序、分配、授权以及身份验证方法。
+ **Identity Store** - 支持从 Identity Store 中读取用户和组信息。
+ **IAM 身份中心 OAuth**-允许通过 IAM 身份中心 OAuth对 IAM 会话进行身份验证。
+ **用户配置文件和目录** - 支持管理 IAM Identity Center 连接器、用户配置文件及目录配置,包括外部身份提供商的设置。
+ **用户订阅** - 支持列出用户订阅。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [ApplicationProvisioningPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationProvisioningPolicy.html)。
## AWS 托管策略: SignInLocalDevelopmentAccess
该`SignInLocalDevelopmentAccess`策略授予 AWS 使用您的控制台凭证进行编程访问的权限。
您可以将 `SignInLocalDevelopmentAccess` 附加到您的用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ **授权 OAuth2 访问**-授予通过浏览器进行身份验证和获取 OAuth 2.0 授权码以进行凭据交换的权限
+ **OAuth2 令牌创建**-授予使用授权码兑换 OAuth 2.0 访问令牌和刷新令牌的权限,这些令牌可用于通过开发者工具和应用程序访问 AWS 服务
**注意**
添加此 AWS 托管策略将授予您进行相同设备和跨设备身份验证的权限。该政策授权对以下资源执行操作:
`arn:aws:signin:region:account-id:oauth2/public-client/localhost`— 用于在同一设备上进行身份验证。`aws login`
`arn:aws:signin:region:account-id:oauth2/public-client/remote`— 用于使用进行跨设备身份验证。`aws login --remote`
要控制对任一身份验证方法的访问,您可以创建自己的托管策略或服务控制策略 (SCP)。使用这些资源 ARNs 允许或拒绝使用您的控制台证书对 AWS 进行编程访问。
有关更多信息,请参阅 [使用控制台凭据登录(推荐)](command-line-sign-in.md#command-line-sign-in-local-development)。要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》**中的 [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html)。
## AWS 登录 AWS 托管策略的更新
查看 AWS 登录 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS 登录 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [SignInLocalDevelopmentAccess](#security-iam-awsmanpol-SignInLocalDevelopmentAccess) - 新策略 | 添加了一个新的 AWS 托管策略,该策略授予 AWS 使用现有控制台凭证进行编程访问的权限。 | 2025 年 11 月 19 日 |
| [ApplicationProvisioningPolicy](#security-iam-awsmanpol-ApplicationProvisioningPolicy):新策略 | 添加了一个新的 AWS 托管策略,该策略授予应用程序配置和身份管理操作的全面权限,包括 IAM 角色和策略管理、IAM Identity Center 配置和身份存储操作。 | 2025 年 9 月 30 日 |
| [AmazonManagedSignUpServicePolicy](#security-iam-awsmanpol-AmazonManagedSignUpServicePolicy):新策略 | 添加了新的 AWS 托管政策,该策略授予 AWS 账户注册流程所需的权限,包括客户验证和付款设置操作。 | 2025 年 9 月 30 日 |
| AWS 登录 已开始跟踪更改 | AWS 登录 开始跟踪其 AWS 托管策略的更改。 | 2025 年 9 月 30 日 |