IAM: permite acesso somente leitura ao console do IAM
Este exemplo mostra como você pode criar uma política baseada em identidade que permita que usuários do IAM realizem qualquer ação do IAM que comece com a string Get
, List
ou Generate
. À medida que os usuários trabalham com o console do IAM, o console faz solicitações para listar grupos, usuários, funções e políticas e para gerar relatórios sobre esses recursos.
O asterisco atua como um curinga. Quando você usa iam:Get*
em uma política, as permissões resultantes incluem todas as ações do IAM que começam com Get
, como GetUser
e GetRole
. O uso de um caractere curinga será útil, principalmente se novos tipos de entidades forem adicionadas ao IAM no futuro. Nesse caso, as permissões concedidas pela política permitem automaticamente que o usuário liste e obtenha os detalhes sobre essas novas entidades.
Use esta política para acesso ao console que inclui permissões para gerar relatórios ou detalhes do último acesso do serviço. Para uma política distinta que não permite gerar ações, consulteIAM: permite acesso somente leitura ao console do IAM sem relatórios.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*", "iam:Generate*" ], "Resource": "*" } }