IAM: レポートなしでの IAM コンソールへの読み取り専用アクセスを許可します

この例は、IAM ユーザーが文字列 Get または List で始まるIAMアクションを実行できるようにする ID ベースのポリシーを作成する方法を示しています。ユーザーがコンソールを操作すると、コンソールは IAM にグループ、ユーザー、ロール、およびポリシーを一覧表示し、それらのリソースに関するレポートを生成するようにリクエストします。

アスタリスクは、ワイルドカードとして機能します。ポリシーで iam:Get* を使用すると、結果のアクセス許可には、Get や GetUser など、GetRole で始まるすべての IAM アクションが含まれます。ワイルドカードは、今後、新しいタイプのエンティティが IAM に追加される場合に役立ちます。この場合、ポリシーによって付与されたアクセス許可によって、ユーザーは自動的にそれらの新しいエンティティに関する詳細を一覧表示して取得できます。

このポリシーは、レポートまたはサービスの最終アクセス詳細を生成するために使用できません。これを許可する別のポリシーについては、IAM: IAM コンソールへの読み取り専用アクセスを許可する を参照してください。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}