本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 管理個人許可 透過使用許可集、許可界限和 **CloudFormationRole** IAM 角色,您可以限制需要直接指派給個別主體的許可數量。這有助於您在公司成長時管理存取權,並協助您套用授與最低權限的安全最佳實務。 您也可以使用*服務連結角色*,它會向 AWS 服務授予許可,以代表您佈建資源。您可以向服務授予許可,而不是將許可授予給 IAM 主體 (使用者、使用者群組或角色)。例如, 的服務連結角色[AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)可讓您佈建自己的範本、資源和環境,而無需將許可指派給 IAM 主體。如需詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)和[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM 文件)。 另一個最佳實務是限制個人對 AWS 管理主控台的存取量。透過限制主控台的存取權,您可以要求個人使用基礎設施即程式碼 (IaC) 技術來佈建資源,例如 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)、[HashiCorp Terraform](https://www.terraform.io/) 或 [Pulumi](https://www.pulumi.com/)。透過 IaC 來管理基礎設施可以追蹤一段時間內資源的變更,並引入核准變更的機制,例如 GitHub 提取請求。