# 許可管理 管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。您可利用許可來控制誰可以在何種條件下存取哪些內容。將許可設定為特定的真人和機器身分,即可授予對特定資源上特定服務動作的存取權。此外,您可以指定必須為 true 才能授予存取的條件。 有多種方法可以授予對不同類型資源的存取權。其中一種方法是使用不同的政策類型。 IAM 中[以身分為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)是*受管*或*內嵌*的政策,並連接到 IAM 身分,包括使用者、群組或角色。這些政策可讓您指定該身分可以執行哪些動作 (其許可)。可以進一步將身分型政策分類。 **受管政策**:為獨立存在的身分型政策,可連接到您 AWS 帳戶中的多個使用者、群組和角色。受管政策有兩種: + **AWS 受管政策**:由 AWS 建立和管理的受管政策。 + **客戶管理政策**:您在 AWS 帳戶中建立和管理的受管政策。客戶受管政策比 AWS 受管政策更能精確地控制您的政策。 受管政策是套用許可的慣用方法。不過,您也可以使用內嵌政策,直接將其新增到單一使用者、群組或角色。內嵌政策可在政策與身分之間維持嚴格的一對一關聯性。刪除身分時也會刪除內嵌政策。 在大多數情況下,您應該建立自己的客戶受管政策,並遵循[最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)原則。 [以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)會連接至資源。例如,S3 儲存貯體是資源型政策。這些政策會將許可授予與資源位於同一帳戶的主體,或位於另一個帳戶的主體。如需支援以資源為基礎的政策的服務清單,請參閱[可搭配 IAM 運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 [許可界限](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)使用受管政策,設定管理員可以設定的最大許可。這可讓您將建立和管理許可的功能委派給開發人員,例如建立 IAM 角色,但限制其可以授予的許可,讓他們無法利用自己建立的內容提升許可。 AWS 中的[屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 可讓您根據屬性授予許可權,稱為標籤。這些標籤可以連接至 IAM 主體 (使用者或角色) 和 AWS 資源。管理員可以建立可重複使用的 IAM 政策,而這些政策會根據 IAM 主體的屬性套用許可權。例如,身為管理員的您可以使用單一 IAM 政策,授予組織中的開發人員權限以存取符合其專案標籤的 AWS 資源。隨著開發人員團隊將資源新增至專案,會根據屬性自動套用許可權,這樣就不需要針對每個新資源來更新政策。 [組織服務控制政策 (SCP)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_scp) 為組織或組織單位 (OU) 的帳戶成員定義最大許可。SCP 會*限制*身分型政策或資源型政策為帳戶中實體 (使用者或角色) 授予的許可,但*不會授予*許可。 [工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)會擔任角色或聯合身分使用者。在使用 AWS CLI 或 AWS API 工作階段政策時傳遞工作階段政策,以限制角色或使用者的身分型政策授予工作階段的許可。這些政策會*限制*已建工作階段的許可,但*不會授予*許可。如需詳細資訊,請參閱[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。 **Topics** + [SEC03-BP01 定義存取需求](sec_permissions_define.md) + [SEC03-BP02 授予最低權限存取權](sec_permissions_least_privileges.md) + [SEC03-BP03 建立緊急存取程序](sec_permissions_emergency_process.md) + [SEC03-BP04 持續減少許可](sec_permissions_continuous_reduction.md) + [SEC03-BP05 為您的組織定義許可防護機制](sec_permissions_define_guardrails.md) + [SEC03-BP06 根據生命週期管理存取](sec_permissions_lifecycle.md) + [SEC03-BP07 分析公有和跨帳戶存取權](sec_permissions_analyze_cross_account.md) + [SEC03-BP08 在組織內安全地共用資源](sec_permissions_share_securely.md) + [SEC03-BP09 安全地與第三方共用資源](sec_permissions_share_securely_third_party.md)