Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

IAM: consente a utenti IAM specifici di gestire un gruppo a livello di programmazione e nella console

PDF
RSS
Modalità Focus
IAM: consente a utenti IAM specifici di gestire un gruppo a livello di programmazione e nella console - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questo esempio mostra come creare una policy basata sull'identità che consenta a specifici utenti IAM di gestire il gruppo AllUsers. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

Che cosa fa questa policy?

  • L'istruzione AllowAllUsersToListAllGroups consente di elencare tutti i gruppi. Questa operazione è necessaria per l'accesso alla console. Questa autorizzazione deve trovarsi nella propria dichiarazione perché non supporta un ARN della risorsa. Le autorizzazioni specificano invece "Resource" : "*".

  • L'istruzione AllowAllUsersToViewAndManageThisGroup consente tutte le operazioni del gruppo che possono essere eseguite sul tipo di risorsa del gruppo. Non consente l'operazione ListGroupsForUser, che può essere eseguita su un tipo di risorsa dell'utente e non un tipo di risorsa del gruppo. Per ulteriori informazioni sui tipi di risorsa che è possibile specificare per un'operazione IAM, consulta Operazioni, risorse e chiavi di condizione per AWS Identity and Access Management.

  • L'istruzione LimitGroupManagementAccessToSpecificUsers nega agli utenti con i nomi specificati l'accesso in scrittura e le operazioni del gruppo di gestione delle autorizzazioni. Quando un utente specificato nella policy tenta di apportare modifiche al gruppo, questa istruzione non rifiuta la richiesta. Questa richiesta è consentita dall'istruzione AllowAllUsersToViewAndManageThisGroup. Se altri utenti tentano di eseguire queste operazioni, la richiesta viene rifiutata. Puoi visualizzare le operazioni IAM che vengono definite con i livelli di accesso Scrittura o Gestione delle autorizzazioni durante la creazione di questa policy nella console IAM. A tale scopo, passare dalla scheda JSON alla scheda Visual editor. Per ulteriori informazioni sui livelli di accesso. consulta Operazioni, risorse e chiavi di condizione per AWS Identity and Access Management.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.