View a markdown version of this page

AWS 的 受管政策 AWS 登入 - AWS 登入

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS 登入

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。

如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策

AWS 受管政策:AmazonManagedSignUpServicePolicy

AmazonManagedSignUpServicePolicy 政策會授予完成 AWS 帳戶註冊程序所需的許可。

您可以將 AmazonManagedSignUpServicePolicy 連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • 客戶驗證 - 允許建立、擷取和更新客戶驗證詳細資訊和資格狀態,包括為驗證文件建立上傳 URLs。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AmazonManagedSignUpServicePolicy

AWS 受管政策:ApplicationProvisioningPolicy

ApplicationProvisioningPolicy 政策授予應用程式佈建和身分管理操作的完整許可,包括 IAM 角色和政策管理、SSO 組態和身分存放區操作。

您可以將 ApplicationProvisioningPolicy 連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • IAM 管理 - 允許全面的 IAM 操作,包括建立、更新和刪除角色和政策、管理角色連接,以及建立服務連結角色。

  • AWS 上的 Research and Engineering Studio - 允許 AWS 上的 Research and Engineering Studio 資源上的所有操作。

  • 角色傳遞 - 允許將 IAM 角色傳遞給其他 服務。

  • IAM Identity Center - 允許管理 IAM Identity Center 執行個體、應用程式、指派、授予和身分驗證方法。

  • Identity Store - 允許從 Identity Store 讀取使用者和群組資訊。

  • IAM Identity Center OAuth - 允許透過 IAM Identity Center OAuth 驗證 IAM 工作階段。

  • 使用者設定檔和目錄 - 允許管理 IAM Identity Center 連接器、使用者設定檔和目錄組態,包括外部身分提供者設定。

  • 使用者訂閱 - 允許列出使用者訂閱。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 ApplicationProvisioningPolicy

AWS 受管政策:SignInLocalDevelopmentAccess

SignInLocalDevelopmentAccess 政策會授予許可,以 AWS 使用您的主控台登入資料以程式設計方式存取 。

您可以將 SignInLocalDevelopmentAccess 連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • 授權 OAuth2 存取 - 准許透過瀏覽器進行身分驗證,並取得憑證交換的 OAuth 2.0 授權碼

  • OAuth2 權杖建立 - 准許交換 OAuth 2.0 存取權杖的授權碼和重新整理權杖,可用於從開發人員工具和應用程式存取 AWS 服務

注意

新增此 AWS 受管政策可讓您同時獲得相同裝置和跨裝置身分驗證的許可。此政策授權對下列資源執行動作:

  • arn:aws:signin:region:account-id:oauth2/public-client/localhost – 用於搭配 的相同裝置身分驗證aws login

  • arn:aws:signin:region:account-id:oauth2/public-client/remote – 用於搭配 進行跨裝置身分驗證aws login --remote

若要控制對任一身分驗證方法的存取,您可以建立自己的受管政策或服務控制政策 (SCP)。使用這些資源 ARNs 來允許或拒絕使用您的主控台登入資料對 AWS 進行程式設計存取。

如需詳細資訊,請參閱使用主控台登入資料登入 (建議)。若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 SignInLocalDevelopmentAccess

AWS 受管政策:AWSSignInResourcePolicyManagement

AWSSignInResourcePolicyManagement政策授予許可,以管理 AWS Sign-In 的主控台授權組態和資源許可陳述式。

您可以將 AWSSignInResourcePolicyManagement 連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • signin:PutConsoleAuthorizationConfiguration – 建立或更新主控台授權設定。

  • signin:GetConsoleAuthorizationConfiguration – 擷取目前的主控台授權組態。

  • signin:DeleteConsoleAuthorizationConfiguration – 移除主控台授權組態。

  • signin:PutResourcePermissionStatement – 建立或更新資源許可陳述式。

  • signin:DeleteResourcePermissionStatement – 移除資源許可陳述式。

  • signin:ListResourcePermissionStatements – 列出帳戶的資源許可陳述式。

  • signin:GetResourcePolicy – 擷取合併的資源型政策。

以下是政策 JSON:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "signin:PutConsoleAuthorizationConfiguration", "signin:GetConsoleAuthorizationConfiguration", "signin:DeleteConsoleAuthorizationConfiguration", "signin:PutResourcePermissionStatement", "signin:DeleteResourcePermissionStatement", "signin:ListResourcePermissionStatements", "signin:GetResourcePolicy" ], "Resource": "*" } ] }

將此政策連接至管理以資源為基礎的 AWS Sign-In 政策的 IAM 主體 (使用者或角色)。這包括負責設定網路型存取控制的安全管理員、需要稽核主控台存取政策的合規主管,以及管理緊急復原存取組態的操作團隊。

重要

此政策會授予主控台授權控制的管理存取權。在指派此政策時套用最低權限原則。考慮使用 IAM 條件來進一步限制何時以及如何使用這些許可。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AWSSignInResourcePolicyManagement

AWS 登入 AWS 受管政策的更新

檢視自此服務開始追蹤這些變更 AWS 登入 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS 登入 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWSSignInResourcePolicyManagement – 新政策

新增了新的 AWS 受管政策,授予許可來管理 AWS 登入的主控台授權組態和資源許可陳述式。

2026 年 6 月 10 日

SignInLocalDevelopmentAccess – 新政策

新增了新的 AWS 受管政策,授予 AWS 使用您現有主控台登入資料以程式設計方式存取 的許可。

2025 年 11 月 19 日

ApplicationProvisioningPolicy – 新政策

新增了新的 AWS 受管政策,授予應用程式佈建和身分管理操作的完整許可,包括 IAM 角色和政策管理、IAM Identity Center 組態和 Identity Store 操作。

2025 年 9 月 30 日

AmazonManagedSignUpServicePolicy – 新政策

新增了新的 AWS 受管政策,授予 AWS 帳戶註冊程序所需的許可,包括客戶驗證和付款設定操作。

2025 年 9 月 30 日

AWS 登入 開始追蹤變更

AWS 登入 開始追蹤其 AWS 受管政策的變更。

2025 年 9 月 30 日