IAM:允許特定 IAM 使用者以程式設計方式在主控台中管理群組 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM:允許特定 IAM 使用者以程式設計方式在主控台中管理群組

此範例會示範如何建立身分型政策,允許特定 IAM 使用者管理 AllUsers 群組。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

此政策的功能為何?

  • AllowAllUsersToListAllGroups 陳述式允許列出所有群組。主控台存取需要此功能。由於此許可不支援資源 ARN,因此此許可必須在其陳述式中。而是許可指定 "Resource" : "*"

  • AllowAllUsersToViewAndManageThisGroup 陳述式允許可在群組資源類型上執行的所有群組動作。它不允許 ListGroupsForUser 動作,此動作可在使用者資源類型而不是群組資源類型上執行。如需有關可以為 IAM 動作指定的資源類型的詳細資訊,請參閱 AWS Identity and Access Management的動作、資源和條件金鑰

  • LimitGroupManagementAccessToSpecificUsers 陳述式會拒絕具指定名稱的使用者的寫入存取和許可管理群組動作。當政策中指定的使用者嘗試對群組進行變更,此陳述式不會拒絕請求。AllowAllUsersToViewAndManageThisGroup 陳述式會允許該請求。如果其他使用者嘗試執行這些操作,請求會被拒絕。您可以在 IAM 主控台建立此政策時,檢視透過 Write (寫入) 或 Permissions management (許可管理) 存取層級拒絕的 IAM 動作。若要執行此操作,請從 JSON 索引標籤切換到 Visual editor (視覺編輯器) 索引標籤。如需有關存取層級的詳細資訊,請參閱 AWS Identity and Access Management的動作、資源和條件金鑰

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/AllUsers" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/AllUsers", "Condition": { "StringNotEquals": { "aws:username": [ "srodriguez", "mjackson", "adesai" ] } } } ] }