管理 IAM 資源的政策範例 - AWS Identity and Access Management

管理 IAM 資源的政策範例

以下 IAM 政策範例允許使用者執行與管理 IAM 使用者、群組和憑證相關的任務。這包括允許使用者管理自己的密碼、存取金鑰和多重要素驗證 (MFA) 裝置的政策。

如需允許使用者執行其他 AWS 服務 (如 Amazon S3、Amazon EC2 和 DynamoDB) 任務的政策範例,請參閱 以身分為基礎的 IAM 政策範例

允許使用者列出帳戶的群組、使用者、政策等,以供報告之用

以下政策允許使用者呼叫以字串 GetList 開頭的任何 IAM 動作來產生報告。若要檢視範例政策,請參閱 IAM:允許對 IAM 主控台的唯讀存取權

允許使用者管理群組的成員資格

以下政策允許使用者更新名為 MarketingGroup 群組的成員資格。若要檢視範例政策,請參閱 IAM:允許以程式設計方式及在主控台中管理群組的成員資格

允許使用者管理 IAM 使用者

以下政策允許使用者執行所有與管理 IAM 使用者相關的任務,但是不允許對其他實體執行操作,如建立群組或政策。允許的動作包括:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUsersToPerformUserActions", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicy", "iam:UpdateUser", "iam:AttachUserPolicy", "iam:ListEntitiesForPolicy", "iam:DeleteUserPolicy", "iam:DeleteUser", "iam:ListUserPolicies", "iam:CreateUser", "iam:RemoveUserFromGroup", "iam:AddUserToGroup", "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:PutUserPolicy", "iam:ListAttachedUserPolicies", "iam:ListUsers", "iam:GetUser", "iam:DetachUserPolicy" ], "Resource": "*" }, { "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard", "Effect": "Allow", "Action": [ "iam:GetAccount*", "iam:ListAccount*" ], "Resource": "*" } ] }

前述政策中包含的多個許可,允許使用者在 AWS Management Console 中執行任務。從 AWS CLIAWS 開發套件或 IAM HTTP 查詢 API 執行使用者相關任務的使用者可能不需要特定許可。例如,如果使用者已知道從使用者取消連接的 ARN,則不需要 iam:ListAttachedUserPolicies 許可。使用者所需許可的確切清單取決於使用者管理其他使用者時必須執行的任務。

以下政策中的許可允許透過 AWS Management Console 存取使用者任務:

  • iam:GetAccount*

  • iam:ListAccount*

允許使用者設定帳戶密碼政策

您可以授予某些使用者取得和更新您 AWS 帳戶密碼政策的許可。若要檢視範例政策,請參閱 IAM:允許以程式設計方式在主控台中設定帳戶密碼要求

允許使用者產生和擷取 IAM 憑證報告

您可以授予使用者許可,以產生和下載列出您 AWS 帳戶中所有使用者的報告。此報告也會列出各種使用者憑證的狀態,包括密碼、存取金鑰、MFA 裝置和簽章憑證。如需有關憑證報告的詳細資訊,請參閱 取得 AWS 帳戶的憑證報告。若要檢視範例政策,請參閱 IAM:產生和擷取 IAM 憑證報告

允許所有 IAM 動作 (管理員存取)

您可以授予某些使用者在 IAM 中執行所有操作的管理員許可,包括管理密碼、存取金鑰、MFA 裝置和使用者憑證。以下範例政策授予這些許可。

警告

當您授予使用者 IAM 的完全存取權時,對於使用者可以向自己或他人授予的許可則沒有限制。使用者可以建立新的 IAM 實體 (使用者或角色) 並授予這些實體對您 AWS 帳戶中所有資源的完全存取權限。您授予使用者對 IAM 的完全存取權限時,實際上是授予使用者對您的 AWS 帳戶中所有資源的完全存取權限。這包括可刪除所有資源的許可。您應只將這些許可授予信任的管理員,也應該對這些管理員強制採用多重要素驗證 (MFA)。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } }