Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

IAM: permite que os usuários do IAM gerenciem um grupo de forma programática e no console

Modo de foco
IAM: permite que os usuários do IAM gerenciem um grupo de forma programática e no console - AWS Identity and Access Management

Este exemplo mostra como é possível criar uma política baseada em identidade que permita que usuários do IAM específicos gerenciem o grupo AllUsers. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

O que essa política faz?

  • A instrução AllowAllUsersToListAllGroups permite listar todos os grupos. Isso é necessário para a concessão de acesso ao console. Essa permissão deve estar em sua própria instrução, pois ela não oferece suporte a um ARN de recurso. Em vez disso, as permissões especificam "Resource" : "*".

  • A instrução AllowAllUsersToViewAndManageThisGroup permite todas as ações de grupo que podem ser executadas no tipo de recurso de grupo. Ela não permite a ação ListGroupsForUser, que pode ser executada em um tipo de recurso de usuário e não em um tipo de recurso de grupo. Para obter mais informações sobre os tipos de recursos que você pode especificar para uma ação do IAM, consulte Ações, recursos e chaves de condição do AWS Identity and Access Management.

  • A instrução LimitGroupManagementAccessToSpecificUsers nega aos usuários com os nomes especificados o acesso para gravação e ações de grupo de gerenciamento de permissões. Quando um usuário especificado na política tentar fazer alterações no grupo, essa instrução não negará a solicitação. Essa solicitação é permitida pela instrução AllowAllUsersToViewAndManageThisGroup. Se outros usuários tentarem executar essas operações, a solicitação será negada. Você pode visualizar as ações do IAM definidas com os níveis de acesso Write (Gravação) ou Permissions management (Gerenciamento de permissões) ao criar essa política no console do IAM. Para fazer isso, alterne da guia JSON para a guia Visual editor (Editor visual). Para obter mais informações sobre níveis de acesso, consulte Ações, recursos e chaves de condição do AWS Identity and Access Management.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/AllUsers" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/AllUsers", "Condition": { "StringNotEquals": { "aws:username": [ "srodriguez", "mjackson", "adesai" ] } } } ] }
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.