Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports Autoriser un utilisateur à gérer l'adhésion à un groupe Autoriser un utilisateur à gérer les utilisateurs IAM Autoriser les utilisateurs à définir la politique de mot de passe du compte Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM Autoriser toutes les actions IAM (Accès Admin)

Exemples de politiques de gestion de ressources IAM

Voici des exemples de politiques IAM qui autorisent les utilisateurs à exécuter des tâches associées à la gestion des utilisateurs, des groupes et des informations d'identification IAM. Il s'agit notamment de politiques qui permettent aux utilisateurs de gérer leurs propres mots de passe, clés d'accès et dispositifs d'authentification multi-facteur (MFA).

Pour des exemples de politiques qui permettent aux utilisateurs d'effectuer des tâches avec d'autres AWS services, tels qu'Amazon S3, Amazon EC2 et DynamoDB, consultez. Exemples de politiques basées sur l'identité IAM

Rubriques

Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports
Autoriser un utilisateur à gérer l'adhésion à un groupe
Autoriser un utilisateur à gérer les utilisateurs IAM
Autoriser les utilisateurs à définir la politique de mot de passe du compte
Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM
Autoriser toutes les actions IAM (Accès Admin)

Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports

La politique suivante permet à l'utilisateur d'appeler toute action IAM qui commence par la chaîne Get ou List et générer des rapports. Pour afficher l'exemple de politique, consultez IAM : autorise l'accès en lecture seule à la console IAM.

Autoriser un utilisateur à gérer l'adhésion à un groupe

La politique suivante permet à l'utilisateur de mettre à jour l'appartenance au groupe appelé MarketingGroup. Pour afficher l'exemple de politique, consultez IAM : autorise la gestion des membres d'un groupe par programmation et dans la console.

Autoriser un utilisateur à gérer les utilisateurs IAM

La politique suivante permet à un utilisateur d'exécuter toutes les tâches associées à la gestion des utilisateurs IAM, mais pas d'effectuer d'actions sur d'autres entités, par exemple la création de groupes ou de politiques. Les actions autorisées sont notamment :

Création de l'utilisateur (action CreateUser).
Suppression de l'utilisateur. Cette tâche requiert des autorisations pour effectuer toutes les actions suivantes : DeleteSigningCertificate, DeleteLoginProfile, RemoveUserFromGroup et DeleteUser.
Affichage de la liste des utilisateurs du compte et des groupes (les actions GetUser, ListUsers et ListGroupsForUser).
Affichage de la liste et suppression des politiques pour l'utilisateur (les actions ListUserPolicies, ListAttachedUserPolicies, DetachUserPolicy et DeleteUserPolicy)
Changement de nom ou modification du chemin d'accès pour l'utilisateur (action UpdateUser). L'élément Resource doit inclure un ARN qui inclut à la fois le chemin d'accès source et le chemin d'accès cible. Pour plus d'informations sur les chemins d'accès, consultez Noms conviviaux et chemins.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}

Plusieurs autorisations incluses dans la politique précédente permettent à l'utilisateur d'exécuter des tâches dans AWS Management Console. Les utilisateurs qui exécutent des tâches liées à l'utilisateur à partir de la AWS CLI, des kits SDK AWS ou de l'API Query HTTP IAM uniquement peuvent ne pas avoir besoin de certaines autorisations. Par exemple, si les utilisateurs connaissent déjà l'ARN des politiques à détacher d'un utilisateur, ils n'ont pas besoin d'autorisation iam:ListAttachedUserPolicies. La liste exacte des autorisations requises par un utilisateur varie en fonction des tâches qu'il doit effectuer lorsqu'il gère d'autres utilisateurs.

Les autorisations suivantes de la politique permettent l'accès aux tâches utilisateur via AWS Management Console:

iam:GetAccount*
iam:ListAccount*

Autoriser les utilisateurs à définir la politique de mot de passe du compte

Vous pouvez octroyer à certains utilisateurs des autorisations pour obtenir et mettre à jour la politique de mot de passe de votre Compte AWS. Pour afficher l'exemple de politique, consultez IAM : permet de définir les exigences de mot de passe du compte par programmation et dans la console.

Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM

Vous pouvez autoriser les utilisateurs à générer et à télécharger un rapport répertoriant tous les utilisateurs de votre Compte AWS. Le rapport indique également l'état de plusieurs informations d'identification utilisateur, y compris les mots de passe, les clés d'accès, les dispositifs MFA et les certificats de signature. Pour de plus amples informations sur les rapports d'informations d'identification, veuillez consulter Générez des rapports d'identification pour votre Compte AWS. Pour afficher l'exemple de politique, consultez IAM : générer et extraire des rapports sur les informations d'identification IAM.

Autoriser toutes les actions IAM (Accès Admin)

Il est possible d'accorder à certains utilisateurs des autorisations administratives leur permettant d'effectuer toutes les actions dans IAM, y compris la gestion des mots de passe et des clés d'accès, des dispositifs MFA et des certificats utilisateur. L'exemple de politique suivant accorde ces autorisations.

Avertissement

Lorsque vous accordez à un utilisateur un accès complet à IAM, il n'y a aucune limite aux autorisations que l'utilisateur peut accorder à lui-même ou à d'autres. Ainsi, l'utilisateur peut créer de nouvelles entités IAM (utilisateurs ou rôles) et leur accorder un accès total à toutes les ressources de votre Compte AWS. Lorsque vous octroyez à un utilisateur un accès complet à IAM, vous lui donnez en réalité un accès total à toutes les ressources de votre Compte AWS. Cela inclut la possibilité de supprimer toutes les ressources. Vous devez octroyer ces autorisations aux administrateurs approuvés uniquement, et vous devez également mettre en œuvre l'authentification multi-facteur (MFA) pour ces administrateurs.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations requises pour accéder aux autres ressources IAM

Exemples de code