本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
此範例會示範如何建立身分型政策,允許特定 IAM 使用者管理 AllUsers 群組。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策或編輯政策中的指示進行操作。
此政策的功能為何?
-
此
AllowAllUsersToListAllGroups陳述式允許列出所有群組。主控台存取需要此功能。由於此許可不支援資源 ARN,因此此許可必須在其陳述式中。而是許可指定"Resource" : "*"。 -
此
AllowAllUsersToViewAndManageThisGroup陳述式允許可在群組資源類型上執行的所有群組動作。它不允許ListGroupsForUser動作,此動作可在使用者資源類型而不是群組資源類型上執行。如需有關可以為 IAM 動作指定的資源類型的詳細資訊,請參閱 AWS Identity and Access Management 的動作、資源和條件索引鍵。 -
LimitGroupManagementAccessToSpecificUsers陳述式會拒絕具指定名稱的使用者的寫入存取和許可管理群組動作。當政策中指定的使用者嘗試對群組進行變更,此陳述式不會拒絕請求。AllowAllUsersToViewAndManageThisGroup陳述式會允許該請求。如果其他使用者嘗試執行這些操作,請求會被拒絕。您可以在 IAM 主控台建立此政策時,檢視透過 Write (寫入) 或 Permissions management (許可管理) 存取層級拒絕的 IAM 動作。若要執行此操作,請從 JSON 索引標籤切換到 Visual editor (視覺編輯器) 索引標籤。如需有關存取層級的詳細資訊,請參閱 AWS Identity and Access Management 的動作、資源和條件金鑰。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllUsersToListAllGroups",
"Effect": "Allow",
"Action": "iam:ListGroups",
"Resource": "*"
},
{
"Sid": "AllowAllUsersToViewAndManageThisGroup",
"Effect": "Allow",
"Action": "iam:*Group*",
"Resource": "arn:aws:iam::*:group/AllUsers"
},
{
"Sid": "LimitGroupManagementAccessToSpecificUsers",
"Effect": "Deny",
"Action": [
"iam:AddUserToGroup",
"iam:CreateGroup",
"iam:RemoveUserFromGroup",
"iam:DeleteGroup",
"iam:AttachGroupPolicy",
"iam:UpdateGroup",
"iam:DetachGroupPolicy",
"iam:DeleteGroupPolicy",
"iam:PutGroupPolicy"
],
"Resource": "arn:aws:iam::*:group/AllUsers",
"Condition": {
"StringNotEquals": {
"aws:username": [
"srodriguez",
"mjackson",
"adesai"
]
}
}
}
]
}