IAM リソースの管理に関するポリシーの例
以下に示すのは、IAM ユーザー、グループ、および認証情報の管理に関連するタスクをユーザーが実行可能にする IAM ポリシーの例です。これには、自分のパスワード、アクセスキー、多要素認証 (MFA) デバイスの管理をユーザーに許可するポリシーも含まれます。
Amazon S3、Amazon EC2、DynamoDB など、他の AWS サービスの使用によるタスクの実行をユーザーに許可するポリシーの例については、「IAM アイデンティティベースのポリシーの例」を参照してください。
トピック
ユーザーがレポート作成の目的でアカウントのグループ、ユーザー、ポリシーなどを一覧表示することを許可する
次のポリシーでは、ユーザーは文字列 Get
または List
で始まる任意の IAM アクションを呼び出し、レポートを生成することができます。ポリシーの例を表示するには、「IAM: IAM コンソールへの読み取り専用アクセスを許可する」を参照してください。
ユーザーがグループのメンバーシップを管理することを許可する
以下のポリシーでは、ユーザーは MarketingGroup というグループのメンバーシップを更新することができます。ポリシーの例を表示するには、「IAM:: グループのメンバーシップをプログラムによりコンソールで管理することを許可する」を参照してください。
ユーザーが IAM ユーザーを管理することを許可する
次のポリシーでは、IAM ユーザーの管理に関連するすべてのタスクの実行がユーザーに許可されますが、グループやポリシーの作成など、他のエンティティに対するアクションの実行は許可されません。許可されるアクションは以下のとおりです。
-
ユーザーの作成 (
CreateUser
アクション)。 -
ユーザーの削除。このタスクでは、アクション
DeleteSigningCertificate
、DeleteLoginProfile
、RemoveUserFromGroup
、DeleteUser
をすべて実行するアクセス許可が必要です。 -
アカウントおよびグループのユーザーのリストの取得 (
GetUser
、ListUsers
、ListGroupsForUser
アクション)。 -
ユーザーのポリシーのリスト取得と削除 (
ListUserPolicies
、ListAttachedUserPolicies
、DetachUserPolicy
、DeleteUserPolicy
アクション) -
ユーザーのパスの名前変更または変更 (
UpdateUser
アクション)。Resource
要素には、ソースパスとターゲットパスの両方に対応する ARN を含める必要があります。パスの詳細については、「フレンドリ名とパス」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUsersToPerformUserActions", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicy", "iam:UpdateUser", "iam:AttachUserPolicy", "iam:ListEntitiesForPolicy", "iam:DeleteUserPolicy", "iam:DeleteUser", "iam:ListUserPolicies", "iam:CreateUser", "iam:RemoveUserFromGroup", "iam:AddUserToGroup", "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:PutUserPolicy", "iam:ListAttachedUserPolicies", "iam:ListUsers", "iam:GetUser", "iam:DetachUserPolicy" ], "Resource": "*" }, { "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard", "Effect": "Allow", "Action": [ "iam:GetAccount*", "iam:ListAccount*" ], "Resource": "*" } ] }
上のポリシーに含まれているアクセス許可のうちいくつかは、AWS Management Consoleでタスクを実行することを許可します。AWS CLIiam:ListAttachedUserPolicies
権限は不要です。ユーザーが必要とする正確な権限リストは、ユーザーが他のユーザーを管理するときに実行する必要があるタスクによって決まります。
ポリシーの以下の権限では、ユーザーは AWS Management Console を介してタスクにアクセスすることができます。
-
iam:GetAccount*
-
iam:ListAccount*
ユーザーがアカウントパスワードポリシーを設定することを許可する
AWS アカウント のパスワードポリシーを取得および更新するアクセス許可を一部のユーザーに付与することもできます。ポリシーの例を表示するには、「IAM: アカウントのパスワード要件の設定をプログラムによりコンソールで許可する」を参照してください。
ユーザーが IAM 認証情報レポートを生成、取得することを許可する
AWS アカウント のすべてのユーザーを一覧表示するレポートを生成してダウンロードするアクセス許可をユーザーに付与できます。このレポートには、パスワード、アクセスキー、MFA デバイス、署名証明書など、さまざまなユーザー認証情報のステータスも一覧表示されます。 認証情報レポートの詳細については、「AWS アカウント の認証情報レポートを生成します。」を参照してください ポリシーの例を表示するには、「IAM: 認証情報レポートを生成して取得する」を参照してください。
すべての IAM アクション (管理アクセス) を許可する
パスワード、アクセスキー、ユーザー証明書、MFA デバイス、ユーザー証明書の管理など、IAM 内のすべてのアクションを実行するための管理権限を一部のユーザーに与える場合があります。以下のポリシーの例は、次の権限を付与します。
警告
ユーザーに IAM に対するフルアクセスを許可する場合、ユーザーが自分または他者に付与できるアクセス許可に制限がなくなります。ユーザーは新しい IAM エンティティ (ユーザーまたはロール) を作成することや、それらのエンティティに AWS アカウント のすべてのリソースに対するフルアクセスを許可することができます。ユーザーに IAM に対するフルアクセスを許可した場合、事実上、AWS アカウント のすべてのリソースに対するフルアクセスを許可したことになります。これには、すべてのリソースを削除するためのアクセス権限も含まれます。これらのアクセス権限は信頼されている管理者にのみ付与してください。また、これらの管理者には多要素認証(MFA)を適用してください。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } }