Contoh kebijakan untuk mengelola sumber daya IAM

Berikut adalah contoh kebijakan IAM yang memungkinkan pengguna melakukan tugas yang terkait dengan pengelolaan pengguna IAM, grup, dan kredensial. Ini termasuk kebijakan yang mengizinkan pengguna mengelola kata sandi, kunci akses, dan perangkat multi-factor authentication (MFA) mereka sendiri.

Untuk contoh kebijakan yang memungkinkan pengguna melakukan tugas dengan AWS layanan lain, seperti Amazon S3, Amazon EC2, dan DynamoDB, lihat. Contoh kebijakan berbasis identitas IAM

Memungkinkan pengguna untuk membuat daftar grup akun, pengguna, kebijakan, dan lainnya untuk tujuan pelaporan

Kebijakan berikut memungkinkan pengguna untuk menghubungi setiap tindakan IAM yang dimulai dengan string Get atau List, dan untuk membuat laporan. Untuk melihat contoh kebijakan, lihat IAM: Mengizinkan akses hanya-baca ke konsol IAM.

Memungkinkan pengguna untuk mengelola keanggotaan grup

Kebijakan berikut memungkinkan pengguna untuk memperbarui keanggotaan grup yang dipanggil MarketingGroup. Untuk melihat contoh kebijakan, lihat IAM: Memungkinkan mengelola keanggotaan grup secara terprogram dan di konsol.

Izinkan pengguna untuk mengelola pengguna IAM

Kebijakan berikut memungkinkan pengguna untuk melakukan semua tugas yang terkait dengan mengelola pengguna IAM tetapi tidak melakukan tindakan pada entitas lain, seperti membuat grup atau kebijakan. Tindakan yang diizinkan meliputi hal berikut ini:

• Membuat pengguna (tindakan CreateUser).

• Menghapus pengguna. Tugas ini memerlukan izin untuk melakukan semua tindakan berikut: DeleteSigningCertificate, DeleteLoginProfile, RemoveUserFromGroup, dan DeleteUser.

• Mencantumkan pengguna dalam akun dan dalam grup (tindakan GetUser, ListUsers, dan ListGroupsForUser).

• Membuat daftar dan menghapus kebijakan untuk pengguna (tindakan ListUserPolicies, ListAttachedUserPolicies, DetachUserPolicy, DeleteUserPolicy)

• Mengganti nama atau mengubah jalur untuk pengguna (tindakan UpdateUser). Elemen Resource harus menyertakan ARN yang mencakup jalur sumber maupun jalur target. Untuk informasi lebih lanjut tentang jalur, lihat Nama dan jalur yang ramah.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}

Sejumlah izin yang disertakan dalam kebijakan sebelumnya memungkinkan pengguna melakukan tugas dalam AWS Management Console. Pengguna yang melakukan tugas terkait pengguna dari, AWS SDK AWS CLI, atau API kueri HTTP IAM saja mungkin tidak memerlukan izin tertentu. Misalnya, jika pengguna sudah mengetahui kebijakan ARN untuk melepas dari pengguna, mereka tidak memerlukan izin iam:ListAttachedUserPolicies. Daftar pasti izin yang diperlukan pengguna tergantung pada tugas yang harus dilakukan pengguna saat mengelola pengguna lain.

Izin berikut dalam kebijakan ini memungkinkan akses ke tugas pengguna melalui AWS Management Console:

• iam:GetAccount*

• iam:ListAccount*

Izinkan pengguna mengatur kebijakan kata sandi akun

Anda mungkin memberikan izin kepada beberapa pengguna untuk mendapatkan dan memperbarui kebijakan kata sandi Anda Akun AWS. Untuk melihat contoh kebijakan, lihat IAM: Memungkinkan pengaturan persyaratan kata sandi akun secara terprogram dan di konsol.

Memungkinkan pengguna membuat dan mengambil laporan kredensial IAM

Anda dapat memberikan izin kepada pengguna untuk membuat dan mengunduh laporan yang mencantumkan semua pengguna di akun Anda Akun AWS. Laporan tersebut juga mencantumkan status berbagai kredensial pengguna, termasuk sandi, access key, perangkat MFA, dan sertifikat penandatanganan. Untuk informasi lebih lanjut mengenai laporan kredensial, lihat Mendapatkan laporan kredensi untuk Anda Akun AWS. Untuk melihat contoh kebijakan, lihat IAM: Menghasilkan dan mengambil laporan kredensi IAM.

Izinkan semua tindakan IAM (akses admin)

Anda dapat memberikan izin administratif kepada beberapa pengguna untuk melakukan semua tindakan di IAM, termasuk mengelola kata sandi, kunci akses, perangkat MFA, dan sertifikat pengguna. Kebijakan contoh berikut memberikan izin ini.

Awas

Jika Anda memberikan akses penuh kepada pengguna ke IAM, tidak ada batasan untuk izin yang dapat diberikan pengguna kepadanya atau orang lain. Pengguna dapat membuat entitas IAM baru (pengguna atau peran) dan memberikan entitas tersebut akses penuh ke semua sumber daya di Anda Akun AWS. Ketika Anda memberi pengguna akses penuh ke IAM, Anda secara efektif memberi mereka akses penuh ke semua sumber daya di Anda Akun AWS. Ini termasuk akses untuk menghapus semua sumber daya. Anda harus memberikan izin ini hanya kepada administrator tepercaya, dan Anda harus memberlakukan Autentikasi Multi-Faktor (MFA) untuk administrator ini.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}