IAM : autorise l'accès en lecture seule à la console IAM

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM à effectuer toute action IAM dont le nom commence par la chaîne Get, List ou Generate. À mesure que les utilisateurs utilisent la console IAM, celle-ci effectue des demandes pour répertorier les groupes, les utilisateurs, les rôles et les politiques, et pour générer des rapports sur ces ressources.

L'astérisque agit comme un caractère générique. Lorsque vous utilisez iam:Get* dans une politique, les autorisations obtenues incluent toutes les actions IAM commençant par Get, telles que GetUser et GetRole. L'utilisation d'un caractère générique est avantageuse, en particulier si de nouveaux types d'entités sont ajoutés à IAM à l'avenir. Dans ce cas, les autorisations accordées par la politique permettent automatiquement à l'utilisateur de répertorier et d'obtenir les détails relatifs à ces nouvelles entités.

Utilisez cette politique pour un accès à la console incluant des autorisations pour générer des rapports ou les derniers détails du service consultés. Pour une politique différente n'autorisant pas la génération d'actions, veuillez consulter IAM : autorise l'accès en lecture seule à la console IAM sans reporting.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

IAM : accès en lecture seule à la console (aucun reporting)

IAM : des utilisateurs spécifiques gèrent un rôle (inclut la console)