IAM:允許以程式設計方式及在主控台中管理群組的成員資格 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM:允許以程式設計方式及在主控台中管理群組的成員資格

此範例會示範如何建立身分型政策,允許更新名為 MarketingTeam 的群組成員。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

此政策的功能為何?

  • ViewGroups 陳述式可讓使用者在 AWS Management Console 中列出所有使用者和群組。它還可讓使用者檢視帳戶中使用者的相關基本資訊。這些許可必須位於自己的陳述式中,因為它們不支援或不需要指定資源 ARN。而是許可指定 "Resource" : "*"

  • ViewEditThisGroup 陳述式可讓使用者檢視 MarketingTeam 群組的相關資訊,以及從該群組新增和移除使用者。

此政策不允許使用者檢視或編輯使用者或 MarketingTeam 群組的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}