Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório Permitir que um usuário gerencie a associação de um grupo Permitir que um usuário gerencie usuários do IAM Permitir que usuários definam a política de senha da conta Permitir que usuários gerem e recuperem relatórios de credenciais do IAM Permitir todas as ações do IAM (acesso de administrador)

Exemplos de política para administrar recursos do IAM

Veja seguir exemplos de políticas do IAM que permitem aos usuários executar tarefas associadas ao gerenciamento de usuários, grupos e credenciais do IAM. Isso inclui políticas que permitem que os usuários gerenciem as próprias senhas, chaves de acesso e dispositivos de autenticação multifator (MFA).

Para obter exemplos de políticas que permitem aos usuários realizar tarefas com outros produtos da AWS, como Amazon S3, Amazon EC2 e DynamoDB, consulte Exemplos de políticas baseadas em identidade do IAM.

Tópicos

Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório
Permitir que um usuário gerencie a associação de um grupo
Permitir que um usuário gerencie usuários do IAM
Permitir que usuários definam a política de senha da conta
Permitir que usuários gerem e recuperem relatórios de credenciais do IAM
Permitir todas as ações do IAM (acesso de administrador)

Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório

A política a seguir permite que o usuário chamem qualquer ação do IAM que comece com a string Get ou List e gere relatórios. Para visualizar a política de exemplo, consulte IAM: permite acesso somente leitura ao console do IAM.

Permitir que um usuário gerencie a associação de um grupo

A política a seguir permite que os usuários atualizem a associação do grupo chamado MarketingGroup. Para visualizar a política de exemplo, consulte IAM: permite gerenciar a associação de um grupo de forma programática e no console.

Permitir que um usuário gerencie usuários do IAM

A política a seguir permite que um usuário execute todas as tarefas associadas ao gerenciamento de usuários do IAM, mas não execute ações em outras entidades, como a criação de grupos ou políticas. As ações permitidas incluem:

Criar o usuário (a ação CreateUser).
Excluir o usuário. Esta tarefa requer permissões para executar todas as seguintes ações: DeleteSigningCertificate, DeleteLoginProfile, RemoveUserFromGroup e DeleteUser.
Listar os usuários na conta e em grupos (as ações GetUser, ListUsers e ListGroupsForUser).
Listar e remover políticas para o usuário (as ações ListUserPolicies, ListAttachedUserPolicies, DetachUserPolicy, DeleteUserPolicy)
Renomear ou alterar o caminho para o usuário (a ação UpdateUser). O elemento Resource deve incluir um nome de recurso da Amazon (ARN) que abrange o caminho da fonte e o caminho de destino. Para obter mais informações sobre caminhos, consulte Nomes amigáveis e caminhos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}

Várias permissões incluídas na política anterior permitem que o usuário execute tarefas no AWS Management Console. Os usuários que executam tarefas relacionadas ao usuário apenas na AWS CLI, nos AWS SDKs ou na API de consulta HTTP do IAM podem não precisar de determinadas permissões. Por exemplo, se os usuários já conhecerem o nome de recurso da Amazon (ARN) das políticas a serem desanexadas de um usuário, eles não precisarão da permissão iam:ListAttachedUserPolicies. A lista exata de permissões que um usuário requer depende das tarefas que o usuário deve executar enquanto gerencia outros usuários.

As seguintes permissões na política permitem acesso a tarefas do usuário por meio do AWS Management Console:

iam:GetAccount*
iam:ListAccount*

Permitir que usuários definam a política de senha da conta

Você pode conceder a alguns usuários permissões para obter e atualizar a política de senha da sua Conta da AWS. Para visualizar a política de exemplo, consulte IAM: permite configurar os requisitos de senha da conta de forma programática e no console.

Permitir que usuários gerem e recuperem relatórios de credenciais do IAM

Você pode conceder aos usuários permissão para gerar e baixar um relatório que liste todos os usuários na sua Conta da AWS. O relatório também lista o status de diversas credenciais de usuário, incluindo senhas, chaves de acesso, dispositivos MFA e certificados de assinatura. Para obter mais informações sobre relatórios de credencial, consulte Gerar relatórios de credenciais para sua Conta da AWS. Para visualizar a política de exemplo, consulte IAM: gerar e recuperar relatórios de credenciais do IAM.

Permitir todas as ações do IAM (acesso de administrador)

Você pode conceder a alguns usuários permissões administrativas para executar todas as ações no IAM, incluindo o gerenciamento de senhas, chaves de acesso, dispositivos com MFA e certificados de usuário. No exemplo a seguir a política concede estas permissões.

Atenção

Quando você concede a um usuário acesso total ao IAM, não há limite de permissões que um usuário possa conceder a si mesmo e aos outros. O usuário pode criar novas entidades (usuários ou perfis) do IAM e conceder a essas entidades acesso total a todos os recursos na sua Conta da AWS. Ao conceder a um usuário acesso total ao IAM, você está efetivamente fornecendo a ele acesso total a todos os recursos na sua Conta da AWS. Isso inclui acesso para excluir todos os recursos. Você deve conceder essas permissões apenas a administradores confiáveis e aplicar autenticação multifator (MFA) a esses administradores.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões necessárias para acessar recursos do IAM

Exemplos de código