本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM：允許特定 IAM 使用者以程式設計方式在主控台中管理群組
<a name="reference_policies_examples_iam_users-manage-group"></a>

此範例會示範如何建立身分型政策，允許特定 IAM 使用者管理 `AllUsers` 群組。此政策定義了程式設計和主控台存取的許可。若要使用此政策，請將範例政策中的{{斜體預留位置文字}}取代為您自己的資訊。然後，遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。

此政策的功能為何？
+ 此 `AllowAllUsersToListAllGroups` 陳述式允許列出所有群組。主控台存取需要此功能。由於此許可不支援資源 ARN，因此此許可必須在其陳述式中。而是許可指定 `"Resource" : "*"`。
+ 此 `AllowAllUsersToViewAndManageThisGroup` 陳述式允許可在群組資源類型上執行的所有群組動作。它不允許 `ListGroupsForUser` 動作，此動作可在使用者資源類型而不是群組資源類型上執行。如需有關可以為 IAM 動作指定的資源類型的詳細資訊，請參閱 [AWS Identity and Access Management的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions)。
+ `LimitGroupManagementAccessToSpecificUsers` 陳述式會拒絕具有指定名稱的使用者存取寫入和許可管理群組動作。當政策中指定的使用者嘗試對群組進行變更，此陳述式不會拒絕請求。`AllowAllUsersToViewAndManageThisGroup` 陳述式會允許該請求。如果其他使用者嘗試執行這些操作，請求會被拒絕。您可以在 IAM 主控台建立此政策時，檢視透過 **Write** (寫入) 或 **Permissions management** (許可管理) 存取層級拒絕的 IAM 動作。若要執行此操作，請從 **JSON** 索引標籤切換到 **Visual editor** (視覺編輯器) 索引標籤。如需存取層級的詳細資訊，請參閱 [的動作、資源和條件金鑰 AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/{{AllUsers}}"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/{{AllUsers}}",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "{{srodriguez}}",
                        "{{mjackson}}",
                        "{{adesai}}"
                    ]
                }
            }
        }
    ]
}
```

------