本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS 自動化 IAM 佈建許可界限檢查
<a name="aip-runtime-checks-perm-boundary"></a>

AMS 許可界限檢查可協助您遵守 AMS 提供的預設許可界限政策。此政策是 AMS Automated IAM Provisioning 拒絕的動作清單。佈建包含這些限制動作的政策需要額外的明確風險接受。在此處下載政策：[finity-policy.zip](samples/boundary-policy.zip)。

使用客戶定義的許可界限政策檢查，自訂 AMS 許可界限政策預設值以外的拒絕動作。當您使用下列變更類型加入 AMS 自動化 IAM 佈建時：管理 \| 受管帳戶 \| AMS 自動化 IAM 佈建與讀寫許可 \| [啟用 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvk6j9hf)，您可以包含自訂拒絕動作清單，以指定其他限制動作。

您可以使用變更類型更新拒絕動作清單：管理 \| 受管帳戶 \| 具有讀寫許可的自動化 IAM 佈建 \| [更新自訂拒絕清單](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0)。您必須使用專用 IAM 角色`AWSManagedServicesIAMProvisionAdminRole`來執行此變更類型。

**注意**  
您必須為每個更新提供拒絕動作的完整清單。新清單會取代上一個清單。
拒絕動作清單只能包含要拒絕的動作。不支援允許動作。
拒絕動作清單位於帳戶內，做為名為 的 IAM 受管政策`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`。政策不得連接到任何角色。
用於表示 AMS Automated IAM Provisioning 中拒絕動作的*許可界限*一詞與 IAM 許可界限具有不同的內容意義。IAM 許可界限會設定政策在執行時間可授予 IAM 實體的最大許可。如需 IAM 許可界限的詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[政策類型](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)。AMS Automated IAM Provisioning 中的許可界限可防止您佈建包含特定許可集的 IAM 政策，例如拒絕動作清單。