Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.Consentire a un utente di gestire l'appartenenza del gruppo Consentire a un utente di gestire gli utenti IAM Consentire agli utenti di impostare una policy per la password dell'account Consentire agli utenti di generare e recuperare i report delle credenziali IAM Consentire tutte le operazioni IAM (accesso amministratore)

Esempi di policy per amministrare le risorse IAM

Di seguito sono riportati gli esempi delle policy IAM che consentono agli utenti di eseguire attività associate alla gestione di utenti, gruppi e credenziali IAM. Queste includono le policy che consentono agli utenti di gestire le proprie password, le chiavi di accesso e i dispositivi per la multi-factor authentication (MFA).

Per esempi di policy che consentono agli utenti di eseguire attività con altri AWS servizi, come Amazon S3, Amazon EC2 e DynamoDB, consulta. Esempi di policy basate su identità IAM

Argomenti

Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.
Consentire a un utente di gestire l'appartenenza del gruppo
Consentire a un utente di gestire gli utenti IAM
Consentire agli utenti di impostare una policy per la password dell'account
Consentire agli utenti di generare e recuperare i report delle credenziali IAM
Consentire tutte le operazioni IAM (accesso amministratore)

Consentire a un utente di elencare i gruppi, gli utenti e le policy dell'account e altro per scopi di report.

La policy seguente consente all'utente di chiamare qualsiasi operazione IAM che inizi con la stringa Get o List e generare i report. Per visualizzare la policy di esempio, consulta IAM: consente l'accesso in sola lettura alla console IAM.

Consentire a un utente di gestire l'appartenenza del gruppo

La seguente politica consente all'utente di aggiornare l'appartenenza al gruppo chiamato. MarketingGroup Per visualizzare la policy di esempio, consulta IAM: consente di gestire l'appartenenza di un gruppo a livello di programmazione e nella console.

Consentire a un utente di gestire gli utenti IAM

La policy seguente consente a un utente di eseguire tutte le attività associate alla gestione degli utenti IAM ma non di eseguire le operazioni su altre entità, come ad esempio la creazione di gruppi o policy. Le operazioni consentite includono le seguenti:

Creazione dell'utente (l'operazione CreateUser).
Eliminazione dell'utente. Questa operazione richiede le autorizzazioni per eseguire tutte le seguenti operazioni: DeleteSigningCertificate, DeleteLoginProfile, RemoveUserFromGroup e DeleteUser.
Elencare gli utenti nell'account e nei gruppi (le operazioni GetUser, ListUsers e ListGroupsForUser).
Elencare e rimuovere le policy per l'utente (le operazioni ListUserPolicies, ListAttachedUserPolicies, DetachUserPolicy, DeleteUserPolicy)
Rinominare o modificare il percorso per l'utente (l'operazione UpdateUser). L'elemento Resource deve includere un ARN che copre sia il percorso di origine sia il percorso di destinazione. Per ulteriori informazioni sui percorsi, consultare la pagina Nomi descrittivi e percorsi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}

Un numero di autorizzazioni incluse nella policy precedente consente all'utente di eseguire attività nella AWS Management Console. Gli utenti che eseguono attività correlate all'utente dalla AWS CLI, gli SDK AWS o dalle API di query HTTP IAM potrebbero non avere bisogno di determinate autorizzazioni. Ad esempio, se gli utenti conoscono già l'ARN delle policy per distaccarsi da un utente, non hanno bisogno dell'autorizzazione iam:ListAttachedUserPolicies. L'elenco esatto delle autorizzazioni che un utente richiede, dipende dalle attività che l'utente deve eseguire durante la gestione di altri utenti.

I seguenti permessi nella policy consentono l'accesso alle attività dell'utente tramite la AWS Management Console:

iam:GetAccount*
iam:ListAccount*

Consentire agli utenti di impostare una policy per la password dell'account

Potresti fornire ad alcuni utenti le autorizzazioni per ottenere e aggiornare la password policy (policy della password) del tuo Account AWS. Per visualizzare la policy di esempio, consulta IAM: consente l'impostazione dei requisiti della password dell'account a livello di programmazione e nella console.

Consentire agli utenti di generare e recuperare i report delle credenziali IAM

Puoi concedere agli utenti il permesso di generare e scaricare un rapporto che elenca tutti gli utenti del tuo Account AWS. Il report elenca inoltre lo stato di varie credenziali utente, tra cui le password, le chiavi di accesso, i dispositivi MFA e i certificati di firma. Per ulteriori informazioni sui report delle credenziali, consultare la pagina Genera report sulle credenziali per il tuo Account AWS. Per visualizzare la policy di esempio, consulta IAM: generazione e recupero di report di credenziali IAM.

Consentire tutte le operazioni IAM (accesso amministratore)

È possibile fornire ad alcuni utenti le autorizzazioni amministrative per eseguire tutte le operazioni in IAM, tra cui la gestione delle password, le chiavi di accesso, i dispositivi MFA e i certificati utente. Il seguente esempio di policy concede queste autorizzazioni:

avvertimento

Quando concedi a un utente l'accesso completo a IAM, non esiste alcun limite alle autorizzazioni che l'utente può concedere a se stesso o agli altri. L'utente può creare nuove entità IAM (utenti o ruoli) e concedere a quelle entità l'accesso completo a tutte le risorse nel tuo Account AWS. Quando concedi a un utente l'accesso completo a IAM, stai concedendo effettivamente l'accesso completo a tutte le risorse nel tuo Account AWS. Questo include l'accesso a eliminare tutte le risorse. Dovresti concedere queste autorizzazioni solo agli amministratori attendibili e dovresti applicare la multi-factor authentication (MFA) per questi amministratori.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni necessarie per accedere alle risorse IAM

Esempi di codice