本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

受管政策與內嵌政策

當您在 IAM 中為身分設定許可時，必須決定要使用 AWS 受管政策、客戶管理政策還是內嵌政策。以下幾個主題提供了有關每個類型的身分型政策以及使用時機的更多資訊。

AWS 受管理政策

「AWS 受管政策」為獨立的政策，由 AWS建立並管理。獨立政策表示政策有自己的 Amazon Resource Name (ARN)，其中包含政策名稱。例如，arn:aws:iam::aws:policy/IAMReadOnlyAccess是 AWS 受管理的策略。如需有關 ARN 的詳細資訊，請參閱 IAM ARN。如需的 AWS 受管理原則清單 AWS 服務，請參閱AWS 受管理的原則。

AWS 受管理的原則可讓您方便地將適當的權限指派給使用者、群組和角色。這比您自己撰寫政策更快，並且包含常見使用案例的許可。

您無法變更受 AWS 管理策略中定義的權限。 AWS 偶爾會更新受 AWS 管理策略中定義的權限。 AWS 執行此操作時，更新會影響附加原則的所有主參與者實體 (使用者、群組和角色)。 AWS 當新服務啟動或新的 API 呼叫可供現有 AWS 服務使用時，最有可能更新 AWS 受管理政策。例如，名為的 AWS 受管理策略ReadOnlyAccess提供對所有 AWS 服務和資源的唯讀存取權。 AWS 啟動新服務時，會 AWS 更新ReadOnlyAccess原則以新增新服務的唯讀權限。更新的許可會套用於政策連接到的所有主體實體。

完整存取 AWS 受管理的原則會授與服務的完整存取權，以定義服務管理員的權限。

進階使用者 AWS 管理的原則可提供 AWS 服務和資源的完整存取權，但不允許管理使用者和群組。

部分存取 AWS 受管理的原則可提供特定層級的 AWS 服務存取權，而不允許權限管理存取層級權限。

AWS 受管理策略的一個特別有用的類別是那些專為工作職能而設計的。這些政策與 IT 業界的常用工作職能緊密貼合，並有助於為這些工作職能授予許可。使用工作功能政策的一個主要優點是，在引入新服務和 API 操 AWS 作時，它們會被維護和更新。例如，AdministratorAccess工作功能可為中的每個服務和資源提供完整存取權和權限委派 AWS。我們建議僅將此政策用於帳戶管理員。對於需要完全存取每項服務的進階使用者，但 IAM 和 Organizations 的有限存取權限除外，請使用PowerUserAccess工作功能。如需有關工作職能政策的清單和說明，請參閱AWS 受管理的工作職能政策。

下圖說明 AWS 受管理的策略。此圖表顯示三個 AWS 受管理的政策：AdministratorAccessPowerUserAccess、和AWS CloudTrailReadOnlyAccess。請注意，單一 AWS 受管理的原則可以附加至不同的主參與者實體 AWS 帳戶，以及單一的不同主參與者實體 AWS 帳戶。

客戶受管政策

您可以自 AWS 帳戶 行建立可附加至主參與者實體 (使用者、群組和角色) 的獨立原則。您可以針對特定使用案例建立這些客戶管理政策，並且可以隨時進行變更和更新。就像 AWS 受管理的原則一樣，當您將原則附加至主參與者實體時，您會將原則中定義的權限授與實體。更新政策中的許可時，變更會套用於政策連接到的所有主體實體。

建立客戶管理政策的理想方式是從複製一個現有 AWS 受管政策開始。這樣從一開始您就可以確信政策是正確的，只需根據您的環境進行自訂即可。

下圖說明客戶管理政策。每個政策都是 IAM 中的一個實體，有自己的 Amazon Resource Name (ARN)，其中包含政策名稱。請注意，同一政策可以連接到多個主體實體，例如，同一個 DynamoDB-books-app 政策可連接到兩個不同的 IAM 角色。

如需更多資訊，請參閱建立 IAM 政策

內嵌政策

內嵌政策是為單個 IAM 身分 (使用者、群組或角色) 建立的政策。內嵌原則會維護原則與身分識別之間的嚴格 one-to-one 關係。當您刪除身分時，它們即會被刪除。在建立身分時或在建立之後，您可以建立政策並將其嵌入身分。如果政策可套用至多個實體，最好使用受管政策。

下圖說明內嵌政策。每個政策都是使用者、組或角色的固有部分。請注意，兩個角色包含同一政策 (DynamoDB-books-app 政策)，但是它們不共用單一政策。每個角色都有自己的政策複本。