郝信華 iPAS AI應用規劃師 學習筆記

Managed IAM policy v.s. Custom IAM policy

iPAS AI應用規劃師學習筆記-avatar-img
iPAS AI應用規劃師學習筆記
發佈於AWS Cloud 認證 (CLF-C02)
更新 發佈閱讀 2 分鐘

AWS managed IAM policy 和 custom(customer managed)IAM policy 都是「managed policy」,差異在於誰維護、可否調整與授權精細度。​

基本定義

  • AWS managed policy:由 AWS 官方建立與維護的通用權限策略,例如 AmazonS3ReadOnlyAccess,設計給常見使用情境,會隨服務更新而調整內容。​
  • Customer managed policy:由帳號擁有者自行建立與維護的策略,用來符合組織內部更精細、客製的權限需求,同樣可以重複附加給多個 User/Role/Group 使用。​

差異重點整理

raw-image

實務建議用法

  • 初期 / PoC:先用 AWS managed policy 快速賦予常見權限(例如基本 read-only、某服務 full access),加速上線。​
  • 穩定營運階段:
    • 以 customer managed policy 建立「角色型」權限(DevOps、AppReadOnly、Billing 等),實作 least privilege,並版本控管與定期 review。​
    • 只在確有需要時少量保留 AWS managed policy(如 AWSSupportAccess 等官方專用策略)。​
    含 AI 應用內容
    #AWS
郝信華 iPAS AI應用規劃師 學習筆記AWS Cloud 認證 (CLF-C02)
留言
avatar-img
留言分享你的想法!
avatar-img
郝信華 iPAS AI應用規劃師 學習筆記
34會員
566內容數
現職 : 富邦建設資訊副理 證照:經濟部 iPAS AI應用規劃師 初級+中級(數據分析) AWS Certified AI Practitioner (AIF-C01) 其他:富邦美術館志工
郝信華 iPAS AI應用規劃師 學習筆記的其他內容
2025/12/26
AWS 的全球基礎設施(Global Infrastructure)
AWS 的全球基礎設施(Global Infrastructure)是圍繞著**區域(Regions)和可用區域(Availability Zones, AZs)**構建的。這是 AWS 考試和架構設計中最基礎也最重要的概念。 截至 2025 年,AWS 全球基礎設施主要包含以下幾個核心組件:
2025/12/26
AWS 的全球基礎設施(Global Infrastructure)
AWS 的全球基礎設施(Global Infrastructure)是圍繞著**區域(Regions)和可用區域(Availability Zones, AZs)**構建的。這是 AWS 考試和架構設計中最基礎也最重要的概念。 截至 2025 年,AWS 全球基礎設施主要包含以下幾個核心組件:
2025/12/26
AWS Savings Plans 支援哪些 AWS 服務
AWS Savings Plans(儲蓄計劃)是一種靈活的定價模式,它提供的折扣取決於您選擇的計畫類型。目前 AWS 主要提供三種 Savings Plans,各自支援不同的服務: 1. Compute Savings Plans(運算儲蓄計劃) 這是最靈活的計畫,適用於以下 3 種 運算服務,
2025/12/26
AWS Savings Plans 支援哪些 AWS 服務
AWS Savings Plans(儲蓄計劃)是一種靈活的定價模式,它提供的折扣取決於您選擇的計畫類型。目前 AWS 主要提供三種 Savings Plans,各自支援不同的服務: 1. Compute Savings Plans(運算儲蓄計劃) 這是最靈活的計畫,適用於以下 3 種 運算服務,
2025/12/22
有狀態 / 無狀態工作負載
有狀態工作負載 (Stateful Workload) 的意思是指:這個應用程式或系統在運作時,會將資料(狀態/State)儲存在執行該工作的伺服器(實例)本機上。 這意味著,如果你關閉或重啟這台伺服器,原本儲存在記憶體或本機硬碟(如 AWS EBS)中的資料必須被保留下來,否則下一次的請求就會出
Thumbnail
2025/12/22
有狀態 / 無狀態工作負載
有狀態工作負載 (Stateful Workload) 的意思是指:這個應用程式或系統在運作時,會將資料(狀態/State)儲存在執行該工作的伺服器(實例)本機上。 這意味著,如果你關閉或重啟這台伺服器,原本儲存在記憶體或本機硬碟(如 AWS EBS)中的資料必須被保留下來,否則下一次的請求就會出
Thumbnail
看更多
你可能也想看
Thumbnail
avatar-avatar
vocus for Business 的沙龍
《玉山 Unicard 原來是你的美好生活地圖?格編還以為是百大通路回饋 List!》
你有想過嗎?如果把你過去一週、甚至一整個月的信用卡帳單全部攤開,會變成什麼畫面?😉 格編最近做了一個小實驗:把每一筆消費都丟到地圖上標記,結果它變成一張非常誠實的「生活熱力圖」。把每一筆刷卡都丟到地圖上之後,哪一條路上出現最多「小點點」,就代表你最常走那一條路;哪一個區塊被畫滿圈圈、標記最多店家
#玉山銀行#玉山Unicard#信用卡
Thumbnail
avatar-avatar
vocus for Business 的沙龍
《玉山 Unicard 原來是你的美好生活地圖?格編還以為是百大通路回饋 List!》
你有想過嗎?如果把你過去一週、甚至一整個月的信用卡帳單全部攤開,會變成什麼畫面?😉 格編最近做了一個小實驗:把每一筆消費都丟到地圖上標記,結果它變成一張非常誠實的「生活熱力圖」。把每一筆刷卡都丟到地圖上之後,哪一條路上出現最多「小點點」,就代表你最常走那一條路;哪一個區塊被畫滿圈圈、標記最多店家
#玉山銀行#玉山Unicard#信用卡
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS ECS Fargate 需要 Tag 標籤(工作日常)
由於客戶需要透過  Cost Explorer 來監控 ECS Fargate tasks 成本,ECS 設置需要的 Tag 標籤, AWS Billing (Cost allocation tags)啟用 Tag 後,還是沒出現。 原因是,ECS Cluster 本生沒有產生費用,故才未
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS ECS Fargate 需要 Tag 標籤(工作日常)
由於客戶需要透過  Cost Explorer 來監控 ECS Fargate tasks 成本,ECS 設置需要的 Tag 標籤, AWS Billing (Cost allocation tags)啟用 Tag 後,還是沒出現。 原因是,ECS Cluster 本生沒有產生費用,故才未
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS Systems Manager Fleet Manager
Fleet Manager (AWS Systems Manager 的功能) 是統一的使用者界面 (UI) 體驗,可助您遠端管理在 AWS 或內部部署上執行的受管節點 利用 Fleet Manager,您可以從單一主控台檢視整個伺服器機群的運作狀態和效能狀態 Fleet Manager 有哪些
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS Systems Manager Fleet Manager
Fleet Manager (AWS Systems Manager 的功能) 是統一的使用者界面 (UI) 體驗,可助您遠端管理在 AWS 或內部部署上執行的受管節點 利用 Fleet Manager,您可以從單一主控台檢視整個伺服器機群的運作狀態和效能狀態 Fleet Manager 有哪些
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
將 AWS S3 bucket 訪問限制為 HTTPS
以下是限制 S3 bucket 訪問 HTTPS 的方法 測試 S3 存儲桶訪問 S3 bucket 通常允許 HTTP 和 HTTPS 訪問 AWS CLI 預設通常使用 HTTPS 向 AWS 服務發送請求 https://docs.aws.amazon.com/zh_tw/cli/l
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS Organizations SCP 規則設置解惑(工作日常)
有這一篇原因是工作上,建立 OU 時,會自動新增額外的 FullAWSAccess 規則,但原本就會有預設Root OU繼承的FullAWSAccess,等於會有兩組一樣的規則,故所以詢問了AWS Support。 先謝謝 AWS 技術支援工程師 George 細心說明~ SCP很重要的
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
AWS Organizations SCP 規則設置解惑(工作日常)
有這一篇原因是工作上,建立 OU 時,會自動新增額外的 FullAWSAccess 規則,但原本就會有預設Root OU繼承的FullAWSAccess,等於會有兩組一樣的規則,故所以詢問了AWS Support。 先謝謝 AWS 技術支援工程師 George 細心說明~ SCP很重要的
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
使用 Graviton Porting Advisor 來遷移到 AWS Graviton
可以分析源代碼並檢查在遷移到 AWS Graviton 時需要更改的過時運行library 優化 aws 成本的方法之一是遷移到並採用具有高性價比的AWS Graviton 推薦使用AWS Graviton,從可持續性的角度來看,它有很好的表現 但有需要注意的地方: 不適用於所有操作系統和實
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
使用 Graviton Porting Advisor 來遷移到 AWS Graviton
可以分析源代碼並檢查在遷移到 AWS Graviton 時需要更改的過時運行library 優化 aws 成本的方法之一是遷移到並採用具有高性價比的AWS Graviton 推薦使用AWS Graviton,從可持續性的角度來看,它有很好的表現 但有需要注意的地方: 不適用於所有操作系統和實
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
查找正確對應的AWS VPC Availability Zones
每個 AWS 帳戶所對應的Availability Zones會有所不同,查看方式可以至EC2 Console 中的EC2 Dashboard。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
查找正確對應的AWS VPC Availability Zones
每個 AWS 帳戶所對應的Availability Zones會有所不同,查看方式可以至EC2 Console 中的EC2 Dashboard。
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
Workload Discovery on AWS 自動創建系統配置圖
1.首先 這是 “AWS 上的工作負載發現” 的解決方案,我嘗試了一下,覺得很方便,所以介紹一下~ https://aws.amazon.com/tw/solutions/implementations/workload-discovery-on-aws/ 2. 部署 官方提供 CloudF
#AWS
Thumbnail
avatar-avatar
西尼亞ming的沙龍
Workload Discovery on AWS 自動創建系統配置圖
1.首先 這是 “AWS 上的工作負載發現” 的解決方案,我嘗試了一下,覺得很方便,所以介紹一下~ https://aws.amazon.com/tw/solutions/implementations/workload-discovery-on-aws/ 2. 部署 官方提供 CloudF
#AWS
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News