IAM: グループのメンバーシップをプログラムによりコンソールで管理することを許可する - AWS Identity and Access Management

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

IAM: グループのメンバーシップをプログラムによりコンソールで管理することを許可する

この例では、次のような IAM ポリシーを作成する方法を示します。 は MarketingTeam と呼ばれるグループのメンバーシップを更新することができます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与されます。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

このポリシーで行うこと

  • ViewGroups ステートメントにより、ユーザーは AWS マネジメントコンソール 内のすべてのユーザーとグループを一覧表示できます。また、アカウント内のユーザーに関する基本情報を表示することもできます。これらのアクセス許可は、リソース ARN をサポートしていないか、または指定する必要がないため、独自のステートメントに含まれている必要があります。代わりに "Resource" : "*" を指定するアクセス許可を使用します。

  • ViewEditThisGroup ステートメントを使用すると、ユーザーは MarketingTeam グループに関する情報を表示したり、そのグループにユーザーを追加したり削除したりできます。

このポリシーでは、ユーザーはユーザーまたは MarketingTeam グループのアクセス許可を表示または編集できません。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewGroups", "Effect": "Allow", "Action": [ "iam:ListGroups", "iam:ListUsers", "iam:GetUser", "iam:ListGroupsForUser" ], "Resource": "*" }, { "Sid": "ViewEditThisGroup", "Effect": "Allow", "Action": [ "iam:AddUserToGroup", "iam:RemoveUserFromGroup", "iam:GetGroup" ], "Resource": "arn:aws:iam::*:group/MarketingTeam" } ] }