IAM 组策略的设计原则、架构设计、安全防护机制和日常维护指南。一、设计原则最小权限:只授予完成工作所需的最小权限集按组授权:通过 Group 统一管理,不直接给 User 挂策略环境隔离:Resource 限定 dev/test/pre 前缀,生产资源单独控制策略精简:单 Action 策略合并到已有策略,避免浪费名额(上限 10 个托管策略/组)禁止提权:非管理员不能修改 IAM 策略,防止权限升级二、组与策略架构2.1 组设计模式组类型定位示例Admin管理员,完全权限运维管理员业务开发组按团队划分,覆盖各自业务所需的 AWS 服务后端/AI/电商/IoT部署组