IAM : autorise des utilisateurs spécifiques à gérer un groupe par programmation et dans la console - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAM : autorise des utilisateurs spécifiques à gérer un groupe par programmation et dans la console

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise des utilisateurs IAM spécifiques à gérer le groupe AllUsers. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

À quoi sert cette politique ?

  • L'instruction AllowAllUsersToListAllGroups permet de répertorier tous les groupes. Ceci est nécessaire pour l'accès à la console. Cette autorisation doit se trouver dans sa propre instruction, car elle ne prend pas en charge un ARN de ressource. À la place, les autorisations spécifient "Resource" : "*".

  • L'instruction AllowAllUsersToViewAndManageThisGroup autorise toutes les actions du groupe pouvant être effectuées sur le type de ressource groupe. Elle n'autorise pas l'action ListGroupsForUser, qui peut être effectuée sur un type de ressource d'utilisateur et non pas un type de ressource de groupe. Pour de plus amples informations sur les types de ressources que vous pouvez spécifier pour une action IAM, veuillez consulter Actions, ressources et clés de condition pour AWS Identity and Access Management.

  • L'instruction LimitGroupManagementAccessToSpecificUsers refuse aux utilisateurs avec les noms spécifiés l'accès aux actions de groupe d'écriture et de gestion des autorisation. Lorsqu'un utilisateur spécifié dans la politique tente d'apporter des modifications au groupe, cette instruction ne permet pas de refuser la demande. Cette demande est autorisée par l'instruction AllowAllUsersToViewAndManageThisGroup. Si d'autres utilisateurs tentent d'effectuer ces opérations, la demande est refusée. Vous pouvez afficher les actions IAM définies avec les niveaux d'accès Write (Écriture) ou Permissions management (Gestion des autorisations) lors de la création de cette politique dans la console IAM. Pour ce faire, passez de l'onglet JSON à l'onglet Visual editor (Éditeur visuel). Pour de plus amples informations sur les niveaux d'accès, veuillez consulter Actions, ressources et clés de condition pour AWS Identity and Access Management.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}