Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # IAM: consente a utenti IAM specifici di gestire un gruppo a livello di programmazione e nella console Questo esempio mostra come creare una policy basata sull'identità che consenta a specifici utenti IAM di gestire il gruppo `AllUsers`. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa politica, sostituisci la politica {{italicized placeholder text}} nell'esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). Che cosa fa questa policy? + L'istruzione `AllowAllUsersToListAllGroups` consente di elencare tutti i gruppi. Questa operazione è necessaria per l'accesso alla console. Questa autorizzazione deve trovarsi nella propria dichiarazione perché non supporta un ARN della risorsa. Le autorizzazioni specificano invece `"Resource" : "*"`. + L'istruzione `AllowAllUsersToViewAndManageThisGroup` consente tutte le operazioni del gruppo che possono essere eseguite sul tipo di risorsa del gruppo. Non consente l'operazione `ListGroupsForUser`, che può essere eseguita su un tipo di risorsa dell'utente e non un tipo di risorsa del gruppo. Per ulteriori informazioni sui tipi di risorsa che è possibile specificare per un'operazione IAM, consulta [Operazioni, risorse e chiavi di condizione per AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions). + L'`LimitGroupManagementAccessToSpecificUsers`istruzione nega agli utenti con i nomi specificati l'accesso alle azioni di gruppo di scrittura e gestione delle autorizzazioni. Quando un utente specificato nella policy tenta di apportare modifiche al gruppo, questa istruzione non rifiuta la richiesta. Questa richiesta è consentita dall'istruzione `AllowAllUsersToViewAndManageThisGroup`. Se altri utenti tentano di eseguire queste operazioni, la richiesta viene rifiutata. Puoi visualizzare le operazioni IAM che vengono definite con i livelli di accesso **Scrittura** o **Gestione delle autorizzazioni** durante la creazione di questa policy nella console IAM. A tale scopo, passare dalla scheda **JSON** alla scheda **Visual editor**. Per ulteriori informazioni sui livelli di accesso, vedere [Azioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions) per. AWS Identity and Access Management ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/{{AllUsers}}" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/{{AllUsers}}", "Condition": { "StringNotEquals": { "aws:username": [ "{{srodriguez}}", "{{mjackson}}", "{{adesai}}" ] } } } ] } ``` ------