이 예제는 IAM 사용자가 Get, List 또는 Generate 문자열로 시작하는 IAM 작업을 수행하도록 허용하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 사용자가 IAM 콘솔에서 작업할 경우 콘솔은 그룹, 사용자, 역할 및 정책 나열과 이러한 리소스에 대한 보고서 생성을 요청합니다.
별표(*)는 와일드카드 역할을 합니다. 정책에서 iam:Get*을 사용할 때 결과 권한에는 으로 시작하는 모든 IAM 작업(예:Get GetUser 및 GetRole)이 포함됩니다. 향후 새로운 유형의 엔터티가 IAM에 추가되는 경우 와일드카드를 사용하는 것이 이롭습니다. 이러한 경우 정책에서 부여한 권한은 자동으로 사용자가 새로운 엔터티에 대한 세부 정보를 나열하고 가져오도록 허용합니다.
보고서 또는 서비스에 마지막으로 액세스한 세부 정보를 생성할 수 있는 권한이 포함된 콘솔 액세스에 이 정책을 사용합니다. 작업 생성을 허용하지 않는 다른 정책에 대해서는 IAM: 보고 없이 IAM 콘솔에 대한 읽기 전용 액세스 허용 섹션을 참조하세요.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*",
"iam:Generate*"
],
"Resource": "*"
}
}