Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de identidades y accesos para AWS CodeStar las notificaciones y AWS CodeConnections
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede autenticarse (iniciar sesión) y quién puede autorizarse (tener permisos) para usar AWS CodeStar las notificaciones y los recursos. AWS CodeConnections La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
nota
Están disponibles las acciones para los recursos que se crean con el nuevo prefijo codeconnections de servicio. La creación de un recurso con el nuevo prefijo de servicio se utilizará codeconnections en el ARN del recurso. Las acciones y los recursos del prefijo codestar-connections de servicio permanecen disponibles. Al especificar un recurso en la política de IAM, el prefijo del servicio debe coincidir con el del recurso.
Temas
Cómo funcionan las características de la consola de herramientas para desarrolladores con IAM
Uso de etiquetas para controlar el acceso a los recursos de AWS CodeConnections
Solución de problemas: AWS CodeStar notificaciones, AWS CodeConnections identidad y acceso
Uso de funciones vinculadas al servicio para las notificaciones AWS CodeStar
Cómo utilizar roles vinculados a servicios de AWS CodeConnections
Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
-
Usuario del servicio: solicite permisos a su administrador si no puede acceder a las funciones (consulteSolución de problemas: AWS CodeStar notificaciones, AWS CodeConnections identidad y acceso)
-
Administrador del servicio: determine el acceso de los usuarios y envíe las solicitudes de permiso (consulteCómo funcionan las características de la consola de herramientas para desarrolladores con IAM)
-
Administrador de IAM: escriba políticas para administrar el acceso (consulte Ejemplos de políticas basadas en identidades)
Autenticación con identidades
La autenticación es la forma de iniciar sesión AWS con sus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulta Cómo iniciar sesión en la Guía del usuario Cuenta de AWS.AWS Sign-In
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte la versión 4 de AWS Signature para las solicitudes de API en la Guía del usuario de IAM.
Usuario raíz de la cuenta de AWS
Al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada usuario Cuenta de AWS raíz, que tiene acceso completo a todos Servicios de AWS los recursos. Te recomendamos encarecidamente que no utilices el usuario root para las tareas diarias. Para las tareas que requieren credenciales de usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
Usuarios y grupos de IAM
Un usuario de IAM es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos utilizar credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales en la Guía del usuario de IAM.
Un grupo de IAM especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.
IAM roles
Un rol de IAM es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol cambiando de un rol de usuario a un rol de IAM (consola) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte Métodos para asumir un rol en la Guía del usuario de IAM.
Las funciones de IAM son útiles para el acceso de usuarios federados, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon. EC2 Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
Administración de acceso mediante políticas
El acceso se controla creando políticas y AWS adjuntándolas a identidades o recursos. AWS Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte la descripción general de las políticas de JSON en la Guía del usuario de IAM.
Mediante el uso de políticas, los administradores especifican quién tiene acceso a qué, definiendo qué director puede realizar acciones, con qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las añade a las funciones, que luego los usuarios pueden asumir. Las políticas de IAM definen los permisos independientemente del método utilizado para realizar la operación.
Políticas basadas en identidades
Las políticas basadas en la identidad son documentos de política de permisos de JSON que se adjuntan a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Las políticas basadas en la identidad pueden ser políticas integradas (integradas directamente en una sola identidad) o políticas administradas (políticas independientes asociadas a varias identidades). Para saber cómo elegir entre políticas gestionadas e integradas, consulte Elegir entre políticas gestionadas y políticas integradas en la Guía del usuario de IAM.
AWS CodeConnections referencia de permisos
En las tablas siguientes se enumeran cada operación de la AWS CodeConnections API, las acciones correspondientes para las que puedes conceder permisos y el formato del ARN del recurso que se va a utilizar para conceder los permisos. AWS CodeConnections APIs Se agrupan en tablas según el alcance de las acciones permitidas por esa API. Consulte esta tabla cuando escriba políticas de permisos que pueda adjuntar a una identidad de IAM (políticas basadas en identidad).
Al crear una política de permisos, debe especificar las acciones en el campo Actionde la política. Debe especificar un valor del recurso en el campo Resource de la política como ARN, con o sin un carácter comodín (*).
Para expresar condiciones en las políticas de conexiones, utilice las claves de condición descritas aquí y enumeradas en Claves de condición. También puedes usar claves AWS de condición generales. Para obtener una lista completa de las claves AWS de ancho, consulte las claves disponibles en la Guía del usuario de IAM.
Para especificar una acción, use el prefijo codeconnections seguido del nombre de la operación API (por ejemplo, codeconnections:ListConnections o codeconnections:CreateConnection).
Uso de comodines
Para especificar varias acciones o recursos, utilice el carácter de comodín (*) en el ARN. Por ejemplo, codeconnections:* especifica todas AWS CodeConnections las acciones y codeconnections:Get* especifica todas AWS CodeConnections las acciones que comienzan por la palabra. Get El siguiente ejemplo concede acceso a todos los recursos con nombres que comienzan con MyConnection.
arn:aws:codeconnections:us-west-2:account-ID:connection/*
Solo puede utilizar caracteres comodín con los connection recursos que se muestran en la tabla siguiente. No puede usar caracteres comodín con nuestros recursosregion. account-id Para obtener más información acerca de los comodines, consulte identificadores de IAM en la Guía del usuario de IAM.
Temas
Permisos para administrar conexiones
Un rol o usuario designado para usar el SDK AWS CLI o el SDK para ver, crear o eliminar conexiones debe tener los siguientes permisos limitados a lo siguiente.
nota
No puede completar ni usar una conexión en la consola solo con los permisos siguientes. Debe agregar los permisos en Permisos para completar conexiones.
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
CreateConnection |
Se necesita para utilizar la CLI o la consola para crear una conexión. |
arn:aws:codeconnections: ::connection/ |
|
DeleteConnection |
Se necesita para utilizar la CLI o la consola para eliminar una conexión. |
arn:aws:codeconnections: |
|
GetConnection |
Se necesita para utilizar la CLI o la consola para ver los detalles de una conexión. |
arn:aws:codeconnections: |
|
ListConnections |
Se necesita para utilizar la CLI o la consola para enumerar todas las conexiones de la cuenta. |
arn:aws:codeconnections: |
Estas operaciones admiten las siguientes claves de condición:
| Acción | Claves de condición |
|---|---|
|
|
|
codeconnections:DeleteConnection |
N/A |
codeconnections:GetConnection |
N/A |
codeconnections:ListConnections |
codeconnections:ProviderTypeFilter |
Permisos para administrar alojamientos
Un rol o usuario designado para usar el SDK AWS CLI o el SDK para ver, crear o eliminar hosts debe tener permisos limitados a lo siguiente.
nota
No puede completar ni utilizar una conexión en el alojamiento solo con los siguientes permisos. Debe agregar los permisos en Permisos para configurar alojamientos.
codeconnections:CreateHost codeconnections:DeleteHost codeconnections:GetHost codeconnections:ListHosts
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
CreateHost |
Se necesita para utilizar la CLI o la consola para crear un alojamiento. |
arn:aws:codeconnections: ::host/ |
|
DeleteHost |
Se necesita para utilizar la CLI o la consola para eliminar un alojamiento. |
conexiones de código: ::host/ |
|
GetHost |
Se necesita para utilizar la CLI o la consola para ver los detalles de un alojamiento. |
|
|
ListHosts |
Se necesita para utilizar la CLI o la consola para enumerar todos los alojamientos de la cuenta. |
arn:aws:codeconnections: |
Estas operaciones admiten las siguientes claves de condición:
| Acción | Claves de condición |
|---|---|
|
|
|
codeconnections:DeleteHost |
N/A |
codeconnections:GetHost |
N/A |
codeconnections:ListHosts |
codeconnections:ProviderTypeFilter |
Para ver un ejemplo de política que usa la clave de VpcIdcondición, consulteEjemplo: limitar los permisos de la VPC del host mediante la clave de contexto VpcId.
Permisos para completar conexiones
Un rol o un usuario designado para administrar conexiones en la consola debe tener los permisos necesarios para completar una conexión en la consola y crear una instalación, lo que incluye autorizar el protocolo de enlace al proveedor y crear instalaciones para que se utilicen las conexiones. Utilice los siguientes permisos además de los anteriores.
La consola utiliza las siguientes operaciones de IAM al realizar el protocolo de conexión basado en navegador. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation y GetIndividualAccessToken son permisos de política de IAM. No son acciones de API.
codeconnections:GetIndividualAccessToken codeconnections:GetInstallationUrl codeconnections:ListInstallationTargets codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation
En función de esto, se necesitan los siguientes permisos para utilizar, crear, actualizar o eliminar una conexión en la consola.
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: ::connection/ |
|
|
Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: |
|
|
Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: |
|
|
Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: |
|
|
Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: |
Estas operaciones admiten las siguientes claves de condición.
| Acción | Claves de condición |
|---|---|
codeconnections:GetIndividualAccessToken |
codeconnections:ProviderType |
codeconnections:GetInstallationUrl |
codeconnections:ProviderType |
|
|
N/A |
codeconnections:StartOAuthHandshake |
codeconnections:ProviderType |
codeconnections:UpdateConnectionInstallation |
codeconnections:InstallationId |
Permisos para configurar alojamientos
Un rol o un usuario designado para administrar conexiones en la consola debe tener los permisos necesarios para configurar un alojamiento en la consola, lo que incluye la autorización del protocolo de enlace al proveedor y la instalación de la aplicación del alojamiento. Utilice los siguientes permisos además de los permisos para alojamientos anteriores.
La consola utiliza las siguientes operaciones de IAM cuando realiza el registro de alojamiento basado en navegador. RegisterAppCode y StartAppRegistrationHandshake son permisos de política de IAM. No son acciones de API.
codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
En función de esto, se necesitan los siguientes permisos para utilizar, crear, actualizar o eliminar una conexión en la consola que requiere un alojamiento (como, por ejemplo, tipos de proveedor instalados).
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
Utilice las barras de desplazamiento para ver el resto de la tabla.
| Acciones de conexiones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para utilizar la consola para completar la configuración del alojamiento. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: ::host/ |
|
|
Se necesita para utilizar la consola para completar la configuración del alojamiento. Se trata únicamente de un permiso de política de IAM, no de una acción de API. |
arn:aws:codeconnections: |
Estas operaciones admiten las siguientes claves de condición.
Pasar una conexión a un servicio
Cuando se pasa una conexión a un servicio (por ejemplo, cuando se proporciona un ARN de conexión en una definición de canalización para crear o actualizar una canalización), el usuario debe tener el permiso codeconnections:PassConnection.
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para pasar una conexión a un servicio. |
arn:aws:codeconnections: ::connection/ |
Esta operación también admite la siguiente clave de condición:
-
codeconnections:PassedToService
| Clave | Proveedores válidos de la acción |
|---|---|
|
|
|
Uso de una conexión
Cuando un servicio como este CodePipeline usa una conexión, el rol del servicio debe tener el codeconnections:UseConnection permiso para una conexión determinada.
Para administrar las conexiones en la consola, la política de usuario debe tener el permiso codeconnections:UseConnection.
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para utilizar una conexión. |
arn:aws:codeconnections: ::connection/ |
Esta operación también admite las siguientes claves de condición:
-
codeconnections:BranchName -
codeconnections:FullRepositoryId -
codeconnections:OwnerId -
codeconnections:ProviderAction -
codeconnections:ProviderPermissionsRequired -
codeconnections:RepositoryName
| Clave | Proveedores válidos de la acción |
|---|---|
|
|
Nombre de usuario y nombre de repositorio de un repositorio, como |
|
|
read_only o read_write |
|
|
Para obtener información, consulte la siguiente sección. |
Las claves de condición necesarias para algunas funciones pueden cambiar con el tiempo. Es recomendable que utilice codeconnections:UseConnection para controlar el acceso a una conexión, a menos que sus requisitos de control de acceso requieran permisos diferentes.
Tipos de acceso admitidos para ProviderAction
Cuando un AWS servicio utiliza una conexión, se realizan llamadas a la API a su proveedor de código fuente. Por ejemplo, un servicio puede mostrar los repositorios para una conexión de Bitbucket llamando a la API https://api.bitbucket.org/2.0/repositories/.username
La clave de ProviderAction condición te permite restringir APIs a qué proveedor se puede llamar. Como la ruta de la API se puede generar de forma dinámica y varía de un proveedor a otro, el valor ProviderAction se mapea a un nombre de acción abstracto en lugar de a la URL de la API. Esto le permite escribir políticas que tengan el mismo efecto independientemente del tipo de proveedor de la conexión.
A continuación, se encuentran los tipos de acceso que se conceden para cada uno de los valores ProviderAction admitidos. A continuación, se presentan permisos de política de IAM. No son acciones de API.
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections permiso | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para acceder a la información sobre una ramificación, como, por ejemplo, la última confirmación de esa ramificación. |
arn:aws:codeconnections: ::connection/ |
|
|
Se necesita para acceder a una lista de repositorios públicos y privados, incluidos los detalles de esos repositorios, que pertenecen a un propietario. |
arn:aws:codeconnections: |
|
|
Se necesita para acceder a una lista de propietarios a los que la conexión tiene acceso. |
arn:aws:codeconnections: |
|
|
Se necesita para acceder a la lista de ramificaciones que existen en un repositorio determinado. |
arn:aws:codeconnections: |
|
|
Se necesita para leer el código fuente y cargarlo en Amazon S3. |
arn:aws:codeconnections: |
|
|
Se necesita para escribir en un repositorio con Git. |
arn:aws:codeconnections: |
|
|
Se necesita para leer desde un repositorio con Git. |
arn:aws:codeconnections: |
GetUploadArchiveToS3Status |
Se necesita para acceder al estado de una carga, incluidos los mensajes de error, iniciada por |
arn:aws:codeconnections: |
CreatePullRequestDiffComment |
Se necesita para acceder a los comentarios de una solicitud de extracción. |
arn:aws:codeconnections: |
GetPullRequest |
Se necesita para ver las solicitudes de extracción de un repositorio. |
arn:aws:codeconnections: |
|
|
Se necesita para ver una lista de confirmaciones de una ramificación de repositorio. |
arn:aws:codeconnections: |
|
|
Se necesita para ver una lista de archivos de una confirmación. |
arn:aws:codeconnections: |
|
|
Se necesita para ver una lista de comentarios de una solicitud de extracción. |
arn:aws:codeconnections: |
|
|
Se necesita para ver una lista de confirmaciones de una solicitud de extracción. |
arn:aws:codeconnections: |
Permisos compatibles con el etiquetado de recursos de conexión
Las siguientes operaciones de IAM se utilizan al etiquetar los recursos de conexión.
codeconnections:ListTagsForResource codeconnections:TagResource codeconnections:UntagResource
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Se necesita para ver una lista de etiquetas asociadas al recurso de conexión. |
arn:aws:codeconnections: ::connection/ arn:aws:codeconnections: |
|
|
Se necesita para etiquetar un recurso de conexión. |
arn:aws:codeconnections: arn:aws:codeconnections: |
|
|
Se necesita para eliminar etiquetas de un recurso de conexión. |
arn:aws:codeconnections: arn:aws:codeconnections: |
Pasar una conexión a un enlace de repositorio
Cuando se proporciona un enlace al repositorio en una configuración de sincronización, el usuario debe tener el permiso codeconnections:PassRepository para el ARN o recurso del enlace al repositorio.
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Necesario para pasar un enlace de repositorio a una configuración de sincronización. |
arn:aws:codeconnections: :repository-link/ |
Esta operación también admite la siguiente clave de condición:
-
codeconnections:PassedToService
| Clave | Proveedores válidos de la acción |
|---|---|
|
|
|
Clave de condición compatible para los enlaces de repositorios
La siguiente clave de condición admite las operaciones de los enlaces de repositorio y los recursos de configuración de sincronización:
-
codeconnections:BranchFiltra el acceso por el nombre de ramificación que se incluye en la solicitud.
| Clave | Valores válidos |
|---|---|
|
|
Esta clave de condición admite las siguientes acciones:
|
Permisos compatibles para compartir la conexión
Las siguientes operaciones de IAM se utilizan al compartir conexiones.
codeconnections:GetResourcePolicy
Utilice las barras de desplazamiento para ver el resto de la tabla.
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
|---|---|---|
|
|
Necesario para acceder a la información sobre la política de recursos. |
arn:aws:codeconnections: ::connection/ |
Para obtener más información sobre la conexión compartida, consulteComparta conexiones con Cuentas de AWS.
Uso de notificaciones y conexiones en la consola
La experiencia de notificaciones está integrada en las CodePipeline consolas CodeBuild CodeCommit, CodeDeploy, y, además, en la consola Developer Tools, situada en la propia barra de navegación de configuración. Para tener acceso a las notificaciones de las consolas, debe tener aplicada una de las políticas administradas para esos servicios o tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre las AWS CodeStar notificaciones y AWS CodeConnections los recursos de tu AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política. Para obtener más información sobre la concesión de acceso a AWS CodeBuild AWS CodeCommit AWS CodeDeploy,, y AWS CodePipeline, incluido el acceso a esas consolas, consulta los siguientes temas:
-
CodeBuild: Uso de políticas basadas en la identidad para CodeBuild
-
CodeCommit: Utilizar políticas basadas en la identidad para CodeCommit
-
AWS CodeDeploy: Gestión de identidad y acceso para AWS CodeDeploy
-
CodePipeline: Control de acceso con políticas de IAM
AWS CodeStar Las notificaciones no tienen políticas AWS gestionadas. Para proporcionar acceso a la funcionalidad de notificación, debe aplicar una de las políticas administradas para uno de los servicios enumerados anteriormente o debe crear políticas con el nivel de permiso que desea conceder a los usuarios o entidades y, luego, adjuntar esas políticas a los usuarios, los grupos o los roles que necesitan esos permisos. Para obtener más información y ejemplos, consulte lo siguiente:
AWS CodeConnections no tiene ninguna política AWS gestionada. Utilice los permisos y las combinaciones de permisos de acceso, como los permisos detallados en Permisos para completar conexiones.
Para obtener más información, consulte los siguientes temas:
No es necesario que concedas permisos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
