IAM: permite que usuarios específicos de IAM administren un grupo mediante programación y en la consola - AWS Identity and Access Management

IAM: permite que usuarios específicos de IAM administren un grupo mediante programación y en la consola

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite que usuarios específicos de IAM administren el grupo AllUsers.Esta política define permisos para el acceso mediante programación y a la consola.Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

¿Qué hace esta política?

  • La declaración AllowAllUsersToListAllGroups permite generar listas de todos los grupos. Esto es necesario para acceder a la consola. Este permiso debe estar en su propia declaración, ya que no admite el ARN de un recurso. En lugar de ello, los permisos especifican "Resource" : "*".

  • La declaración AllowAllUsersToViewAndManageThisGroup permite que se realicen todas las acciones de grupo que pueden ejecutarse en el tipo de recurso de grupo. No permite la acción ListGroupsForUser, que puede llevarse a cabo en un tipo de recurso de usuario y no en un tipo de recurso de grupo. Para obtener más información acerca de los tipos de recurso que puede especificar para una acción de IAM, vea Claves de condición. acciones y recursos de AWS Identity and Access Management.

  • La declaración LimitGroupManagementAccessToSpecificUsers deniega a los usuarios con los nombres especificados el acceso a escribir y las acciones de grupo de administración de permisos. Cuando un usuario especificado en la política intenta realizar cambios en el grupo, esta declaración no deniega la solicitud. Esta solicitud la permite la declaración AllowAllUsersToViewAndManageThisGroup. Si otros usuarios intentan realizar estas operaciones, se deniega la solicitud. Puede ver las acciones de IAM que se definen con los niveles de acceso de Write (Escritura) o Permissions management (Administración de permisos) mientras crea esta política en la consola de IAM. Para ello, cambie de la pestaña JSON a la pestaña Visual editor (Editor visual). Para obtener más información acerca de los niveles de acceso, consulte Claves de condición, recursos y acciones de AWS Identity and Access Management.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/AllUsers" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/AllUsers", "Condition": { "StringNotEquals": { "aws:username": [ "srodriguez", "mjackson", "adesai" ] } } } ] }