此示例说明了如何创建基于身份的策略以允许 IAM 用户执行任何以字符串 Get、List 或 Generate 开头的 IAM 操作。在用户使用 IAM 控制台时,控制台发出请求以列出组、用户、角色和策略,并生成有关这些资源的报告。
星号将作为通配符。在策略中使用 iam:Get* 时,生成的权限包括以 Get 开头的所有 IAM 操作,例如,GetUser 和 GetRole。使用通配符是非常有用的,特别是将来在 IAM 中添加新类型的实体。在这种情况下,策略授予的权限自动允许用户列出和获取有关这些新实体的详细信息。
将此策略用于控制台访问,其中包括生成报告或服务上次访问详细信息的权限。有关不允许生成操作的其他策略,请参阅 IAM:允许对 IAM 控制台进行只读访问而不生成报告。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*",
"iam:Generate*"
],
"Resource": "*"
}
}