IAM: IAM コンソールへの読み取り専用アクセスを許可する
この例は、IAM ユーザーが文字列 Get
、List
、または Generate
で始まる IAM アクションを実行できるようにする ID ベースのポリシーを作成する方法を示しています。ユーザーが IAM コンソールを操作すると、コンソールはグループ、ユーザー、ロール、およびポリシーを一覧表示し、それらのリソースに関するレポートを生成するようにリクエストします。
アスタリスクは、ワイルドカードとして機能します。ポリシーで iam:Get*
を使用すると、結果のアクセス許可には、Get
や GetUser
など、GetRole
で始まるすべての アクションが含まれます。特に新しい種類のエンティティが今後 IAM に追加される場合は、ワイルドカードを使用すると便利です。この場合、ポリシーによって付与されたアクセス許可によって、ユーザーは自動的にそれらの新しいエンティティに関する詳細を一覧表示して取得できます。
このポリシーは、レポートまたはサービスの最終アクセス詳細を生成する権限を含むコンソールアクセスに使用します。アクションの生成を許可しない別のポリシーについては、IAM: レポートなしでの IAM コンソールへの読み取り専用アクセスを許可します。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*", "iam:Generate*" ], "Resource": "*" } }