Exemplos de política para administrar recursos do IAM - AWS Identity and Access Management

Exemplos de política para administrar recursos do IAM

Veja seguir exemplos de políticas do IAM que permitem aos usuários executar tarefas associadas ao gerenciamento de usuários, grupos e credenciais do IAM. Isso inclui políticas que permitem que os usuários gerenciem as próprias senhas, chaves de acesso e dispositivos de autenticação multifator (MFA).

Para obter exemplos de políticas que permitem aos usuários realizar tarefas com outros produtos da AWS, como Amazon S3, Amazon EC2 e DynamoDB, consulte Exemplos de políticas baseadas em identidade do IAM.

Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório

A política a seguir permite que o usuário chamem qualquer ação do IAM que comece com a string Get ou List e gere relatórios. Para visualizar a política de exemplo, consulte IAM: permite acesso somente leitura ao console do IAM.

Permitir que um usuário gerencie a associação de um grupo

A política a seguir permite que os usuários atualizem a associação do grupo chamado MarketingGroup. Para visualizar a política de exemplo, consulte IAM: permite gerenciar a associação de um grupo de forma programática e no console.

Permitir que um usuário gerencie usuários do IAM

A política a seguir permite que um usuário execute todas as tarefas associadas ao gerenciamento de usuários do IAM, mas não execute ações em outras entidades, como a criação de grupos ou políticas. As ações permitidas incluem:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUsersToPerformUserActions", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicy", "iam:UpdateUser", "iam:AttachUserPolicy", "iam:ListEntitiesForPolicy", "iam:DeleteUserPolicy", "iam:DeleteUser", "iam:ListUserPolicies", "iam:CreateUser", "iam:RemoveUserFromGroup", "iam:AddUserToGroup", "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:PutUserPolicy", "iam:ListAttachedUserPolicies", "iam:ListUsers", "iam:GetUser", "iam:DetachUserPolicy" ], "Resource": "*" }, { "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard", "Effect": "Allow", "Action": [ "iam:GetAccount*", "iam:ListAccount*" ], "Resource": "*" } ] }

Várias permissões incluídas na política anterior permitem que o usuário execute tarefas no AWS Management Console. Os usuários que executam tarefas relacionadas ao usuário apenas na AWS CLI, nos AWS SDKs ou na API de consulta HTTP do IAM podem não precisar de determinadas permissões. Por exemplo, se os usuários já conhecerem o nome de recurso da Amazon (ARN) das políticas a serem desanexadas de um usuário, eles não precisarão da permissão iam:ListAttachedUserPolicies. A lista exata de permissões que um usuário requer depende das tarefas que o usuário deve executar enquanto gerencia outros usuários.

As seguintes permissões na política permitem acesso a tarefas do usuário por meio do AWS Management Console:

  • iam:GetAccount*

  • iam:ListAccount*

Permitir que usuários definam a política de senha da conta

Você pode conceder a alguns usuários permissões para obter e atualizar a política de senha da sua Conta da AWS. Para visualizar a política de exemplo, consulte IAM: permite configurar os requisitos de senha da conta de forma programática e no console.

Permitir que usuários gerem e recuperem relatórios de credenciais do IAM

Você pode conceder aos usuários permissão para gerar e baixar um relatório que liste todos os usuários na sua Conta da AWS. O relatório também lista o status de diversas credenciais de usuário, incluindo senhas, chaves de acesso, dispositivos MFA e certificados de assinatura. Para obter mais informações sobre relatórios de credencial, consulte Gerar relatórios de credenciais para sua Conta da AWS. Para visualizar a política de exemplo, consulte IAM: gerar e recuperar relatórios de credenciais do IAM.

Permitir todas as ações do IAM (acesso de administrador)

Você pode conceder a alguns usuários permissões administrativas para executar todas as ações no IAM, incluindo o gerenciamento de senhas, chaves de acesso, dispositivos com MFA e certificados de usuário. No exemplo a seguir a política concede estas permissões.

Atenção

Quando você concede a um usuário acesso total ao IAM, não há limite de permissões que um usuário possa conceder a si mesmo e aos outros. O usuário pode criar novas entidades (usuários ou perfis) do IAM e conceder a essas entidades acesso total a todos os recursos na sua Conta da AWS. Ao conceder a um usuário acesso total ao IAM, você está efetivamente fornecendo a ele acesso total a todos os recursos na sua Conta da AWS. Isso inclui acesso para excluir todos os recursos. Você deve conceder essas permissões apenas a administradores confiáveis e aplicar autenticação multifator (MFA) a esses administradores.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } }