本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 政策最佳實務 基於身分的政策相當強大。他們會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Chime SDK 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項: + **開始使用 AWS 受管政策** – 若要快速開始使用 Amazon Chime 開發套件,請使用 AWS 受管政策為您的員工提供所需的許可。這些政策已在您的帳戶中提供,並由 AWS維護和更新。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用許可搭配 AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 + **授予最低權限**:當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。如需詳細資訊,請參閱《IAM 使用者指南》中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。 + **為敏感操作啟用 MFA**:為了增加安全,請要求 IAM 使用者使用多重要素驗證 (MFA) 存取敏感資源或 API 操作。如需詳細資訊,請參閱《IAM 使用者指南》中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。 + **使用原則條件以增加安全** – 在切實可行的範圍中,請定義您身分類型原則允許存取資源的條件。例如,您可以撰寫條件,指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件,只在指定的日期或時間範圍內允許請求,或是要求使用 SSL 或 MFA。如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。