Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # : Ermöglicht spezifischen IAM-Benutzern das Verwalten einer Gruppe programmgesteuert und in der Konsole Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es bestimmten IAM-Benutzern erlaubt, die `AllUsers`-Gruppe zu verwalten. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie {{italicized placeholder text}} im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md). Was macht diese Richtlinie? + Die `AllowAllUsersToListAllGroups`-Anweisung erlaubt das Auflisten aller Gruppen. Dies ist für den Konsolenzugriff erforderlich. Diese Berechtigung muss als eigene Anweisung vorliegen, da sie keinen Ressourcen-ARN unterstützt. Geben Sie anstelle von Berechtigungen `"Resource" : "*"` ein. + Die `AllowAllUsersToViewAndManageThisGroup`-Anweisung lässt alle Gruppenaktionen zu, die für den Gruppenressourcentyp durchgeführt werden können. Sie lässt die `ListGroupsForUser`-Aktion nicht zu. Diese Aktion kann für einen Benutzerressourcentyp und nicht für einen Gruppenressourcentyp durchgeführt werden. Weitere Informationen über die Ressourcentypen, die Sie für eine IAM-Aktion angeben können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions). + Die `LimitGroupManagementAccessToSpecificUsers` Anweisung verweigert Benutzern mit den angegebenen Namen den Zugriff auf Gruppenaktionen für die Schreib- und Berechtigungsverwaltung. Wenn ein in der Richtlinie angegebener Benutzer versucht, Änderungen an der Gruppe vorzunehmen, lehnt diese Anweisung die Anforderung nicht ab. Diese Anforderung wird durch die `AllowAllUsersToViewAndManageThisGroup`-Anweisung zugelassen. Wenn andere Benutzer versuchen, diese Operationen durchzuführen, wird die Anforderung abgelehnt. Sie können die -Aktionen, die über die Zugriffsebenen **Write (Schreiben)** oder **Permissions management (Berechtigungsverwaltung)** definiert wurden, anzeigen, während Sie die Richtlinie in der IAM-Konsole erstellen. Wechseln Sie dazu von der Registerkarte **JSON** zur Registerkarte**Visual editor (Visueller Editor)** . Weitere Informationen zu Zugriffsebenen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/{{AllUsers}}" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/{{AllUsers}}", "Condition": { "StringNotEquals": { "aws:username": [ "{{srodriguez}}", "{{mjackson}}", "{{adesai}}" ] } } } ] } ``` ------