IAM : autorise l'accès en lecture seule à la console IAM sans reporting

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à effectuer toute action IAM dont le nom commence par la chaîne Get ou List. À mesure que les utilisateurs utilisent la console, celle-ci effectue des demandes à IAM pour répertorier les groupes, les utilisateurs, les rôles et les politiques, et pour générer des rapports sur ces ressources.

L'astérisque agit comme un caractère générique. Lorsque vous utilisez iam:Get* dans une politique, les autorisations obtenues incluent toutes les actions IAM commençant par Get, telles que GetUser et GetRole. Les caractères génériques sont utiles si de nouveaux types d'entités sont ajoutés à IAM à l'avenir. Dans ce cas, les autorisations accordées par la politique permettent automatiquement à l'utilisateur de répertorier et d'obtenir les détails relatifs à ces nouvelles entités.

Cette politique ne peut pas servir à générer des rapports ou des derniers détails de service consultés. Pour obtenir une politique différente l'autorisant, veuillez consulter IAM : autorise l'accès en lecture seule à la console IAM.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

IAM : transmettre un rôle à un service

IAM : accès en lecture seule à la console