本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 客戶管理政策


根據最佳實務，請勿使用 AWS 帳戶根使用者 與 互動 AWS，包括 AWS 私有 CA。而是使用 AWS Identity and Access Management (IAM) 來建立 IAM 使用者、IAM 角色或聯合身分使用者。建立管理員群組，並將自己新增至該群組。然後，以管理員身分登入。視需要將其他使用者新增至該群組。

另一個最佳實務是建立客戶受管 IAM 政策，您可以將其指派給使用者。客戶受管政策是您建立的獨立身分識別型政策，您可以將政策連接到 AWS 帳戶中的多個使用者、群組或角色。這類政策會限制使用者，使其只能執行您指定的 AWS 私有 CA 動作。

以下範例[客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)會允許使用者建立 CA 稽核報告。以下僅為範例。您可以選擇任何您想要 AWS 私有 CA 的操作。如需更多範例，請參閱[內嵌政策](auth-InlinePolicies.md)。

**若要建立客戶受管政策**

1. 使用 管理員的登入資料登入 AWS IAM 主控台。

1. 在主控台的導覽窗格中，選擇 **Policies (政策)**。

1. 選擇**建立政策**。

1. 請選擇 **JSON** 標籤。

1. 請複製以下政策，然後在編輯器中貼上。

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"acm-pca:CreateCertificateAuthorityAuditReport",
            "Resource":"*"
         }
      ]
   }
   ```

------

1. 選擇**檢閱政策**。

1. 在 **Name (名稱)** 輸入 `PcaListPolicy`。

1. (選用) 輸入描述。

1. 選擇**建立政策**。

管理員可以將政策連接至任何 IAM 使用者，以限制使用者可執行的動作 AWS 私有 CA 。如需套用許可政策的方法，請參閱《[IAM 使用者指南》中的變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。 **