IAM:: グループのメンバーシップをプログラムによりコンソールで管理することを許可する
この例では、MarketingTeam
という名前のグループのメンバーシップを更新することを許可する ID ベースのポリシーの作成方法を示します。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキスト
を独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。
このポリシーで行うこと
-
この
ViewGroups
ステートメントにより、ユーザーは AWS Management Console 内のすべてのユーザーとグループを一覧表示できます。また、アカウント内のユーザーに関する基本情報を表示することもできます。これらのアクセス許可は、リソース ARN をサポートしていないか、または指定する必要がないため、独自のステートメントに含まれている必要があります。代わりに"Resource" : "*"
を指定するアクセス許可を使用します。 -
ViewEditThisGroup
ステートメントを使用すると、ユーザーはMarketingTeam
グループに関する情報を表示したり、そのグループにユーザーを追加したり削除したりできます。
このポリシーでは、ユーザーはユーザーまたは MarketingTeam
グループのアクセス許可を表示または編集できません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewGroups", "Effect": "Allow", "Action": [ "iam:ListGroups", "iam:ListUsers", "iam:GetUser", "iam:ListGroupsForUser" ], "Resource": "*" }, { "Sid": "ViewEditThisGroup", "Effect": "Allow", "Action": [ "iam:AddUserToGroup", "iam:RemoveUserFromGroup", "iam:GetGroup" ], "Resource": "arn:aws:iam::*:group/
MarketingTeam
" } ] }