# 权限管理 管理权限,控制需要访问 AWS 和您工作负载的人员和机器身份的访问权限。权限可让您控制哪些人可以在什么条件下访问哪些内容。通过为特定的人员身份和机器身份设置权限,可以向这些身份授予对特定资源执行特定服务操作的访问权限。此外,您可以为要授予的访问权限指定必须满足的条件。 可通过多种方式向不同类型的资源授予访问权限。一种方式是使用不同的策略类型。 IAM 中[基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)属于*托管*或*内联*策略,会附加到 IAM 身份(用户、组或角色)。这些策略可让您指定该身份可执行哪些操作(其权限)。基于身份的策略可以进一步分类。 **托管策略** - 基于身份的独立策略,可附加到您的 AWS 账户中的多个用户、组和角色。有两种托管策略: + **AWS 托管策略** – 由 AWS 创建和管理的托管策略。 + **客户管理型策略** – 您在 AWS 账户中创建和管理的托管策略。与 AWS 托管策略相比,客户管理型策略对策略的控制更精确。 托管策略是应用权限的首选方法。不过,您也可以使用直接添加到单个用户、组或角色的内联策略。内联策略维持策略与身份之间严格的一对一关系。删除身份即会删除内联策略。 大多数情况下,您应按照[最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)原则创建自己的客户管理型策略。 [基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)附加到某个资源。例如,S3 存储桶策略是一个基于资源的策略。这些策略向一个主体授予权限,该主体既可以位于资源所在的账户中,也可以位于另一个账户中。有关支持基于资源的策略的服务列表,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 [权限边界](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)使用托管策略来设置管理员能够设定的最高权限。这样,您就可以为开发人员赋予创建和管理权限的能力,例如创建一个 IAM 角色,但限制他们可以授予的权限,让他们无法利用他们创建的角色提升自己的权限。 AWS 中的[基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)让您能够根据属性(成为标签)来授予权限。这些标签可以附加到 IAM 主体(用户或角色)和 AWS 资源。管理员可以创建可重复使用的 IAM 策略,这些策略根据 IAM 主体的属性来应用权限。例如,作为管理员,您可以使用单个 IAM 策略,向您所在组织中的开发人员授予对与其项目标签匹配的 AWS 资源的访问权限。当开发人员团队为项目添加资源时,会自动根据属性应用权限,从而消除了对每个新资源进行策略更新的需要。 [Organizations 服务控制策略(SCP)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_scp)为组织或组织部门(OU)的账户成员定义最大权限。SCP *限制*基于身份的策略或基于资源的策略授予账户中实体(用户或角色)的权限,但*不授予*权限。 [会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)会担任角色或联合用户。在使用 AWS CLI 或 AWS API 会话策略限制基于角色或用户身份的策略授予会话的权限时,传递会话策略。这些策略*限制*所创建会话的权限,但*不授予*权限。有关更多信息,请参阅[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。 **Topics** + [SEC03-BP01 定义访问要求](sec_permissions_define.md) + [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md) + [SEC03-BP03 建立紧急访问流程](sec_permissions_emergency_process.md) + [SEC03-BP04 持续减少权限](sec_permissions_continuous_reduction.md) + [SEC03-BP05 为您的组织定义权限防护机制](sec_permissions_define_guardrails.md) + [SEC03-BP06 基于生命周期管理访问权限](sec_permissions_lifecycle.md) + [SEC03-BP07 分析公共和跨账户访问](sec_permissions_analyze_cross_account.md) + [SEC03-BP08 在组织内安全地共享资源](sec_permissions_share_securely.md) + [SEC03-BP09 与第三方安全地共享资源](sec_permissions_share_securely_third_party.md)