IAM: 特定の IAM ユーザーによるグループの管理をプログラムによりコンソールで許可する - AWS Identity and Access Management

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

IAM: 特定の IAM ユーザーによるグループの管理をプログラムによりコンソールで許可する

この例では、次のような IAM ポリシーを作成する方法を示します。 では、特定の IAM ユーザーが AllUsers グループを管理できます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与されます。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

このポリシーで行うこと

  • AllowAllUsersToListAllGroups ステートメントでは、すべてのグループを一覧表示します。これはコンソールのアクセスに必要です。このアクセス許可は、リソース ARN をサポートしていないため、独自のステートメント内にある必要があります。代わりに "Resource" : "*" を指定するアクセス許可を使用します。

  • AllowAllUsersToViewAndManageThisGroup ステートメントは、グループリソースタイプに対して実行できるすべてのグループアクションを許可します。グループリソースタイプではなくユーザリソースタイプで実行できる ListGroupsForUser アクションは許可されていません。IAM アクションに指定できるリソースタイプの詳細については、「AWS Identity and Access Management のアクション、リソース、条件キー」を参照してください。

  • LimitGroupManagementAccessToSpecificUsers ステートメントは、指定した名前を持つユーザーが書き込みおよびアクセス許可管理グループのアクションにアクセスすることを拒否します。ポリシーで指定されたユーザーがグループに変更しようとすると、このステートメントはリクエストを拒否しません。このリクエストは、AllowAllUsersToViewAndManageThisGroup ステートメントで許可されます。他のユーザーがこれらのオペレーションを実行しようとすると、リクエストは拒否されます。IAM コンソールでこのポリシーを作成している間、[書き込み] または [アクセス許可管理] アクセスレベルで定義されている IAM アクションを表示できます。これを行うには、[JSON] タブから [Visual editor (ビジュアルエディタ)] タブに切り替えます。アクセスレベルの詳細については、「AWS Identity and Access Management のアクション、リソース、および条件キー」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/AllUsers" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/AllUsers", "Condition": { "StringNotEquals": { "aws:username": [ "srodriguez", "mjackson", "adesai" ] } } } ] }