AWS managed IAM policy 和 custom(customer managed)IAM policy 都是「managed policy」,差異在於誰維護、可否調整與授權精細度。
基本定義
- AWS managed policy:由 AWS 官方建立與維護的通用權限策略,例如
AmazonS3ReadOnlyAccess,設計給常見使用情境,會隨服務更新而調整內容。 - Customer managed policy:由帳號擁有者自行建立與維護的策略,用來符合組織內部更精細、客製的權限需求,同樣可以重複附加給多個 User/Role/Group 使用。
差異重點整理
實務建議用法
- 初期 / PoC:先用 AWS managed policy 快速賦予常見權限(例如基本 read-only、某服務 full access),加速上線。
- 穩定營運階段:
- 以 customer managed policy 建立「角色型」權限(DevOps、AppReadOnly、Billing 等),實作 least privilege,並版本控管與定期 review。
- 只在確有需要時少量保留 AWS managed policy(如
AWSSupportAccess等官方專用策略)。
