Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exemples de politiques de gestion de ressources IAM
Voici des exemples de politiques IAM qui autorisent les utilisateurs à exécuter des tâches associées à la gestion des utilisateurs, des groupes et des informations d'identification IAM. Il s'agit notamment de politiques qui permettent aux utilisateurs de gérer leurs propres mots de passe, clés d'accès et dispositifs d'authentification multi-facteur (MFA).
Pour des exemples de politiques qui permettent aux utilisateurs d'effectuer des tâches avec d'autres AWS services, tels qu'Amazon S3, Amazon EC2 et DynamoDB, consultez. [Exemples de politiques basées sur l'identité IAM](access_policies_examples.md)
**Topics**
+ [Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports](#iampolicy-example-userlistall)
+ [Autoriser un utilisateur à gérer l'adhésion à un groupe](#iampolicy-example-usermanagegroups)
+ [Autoriser un utilisateur à gérer les utilisateurs IAM](#creds-policies-users)
+ [Autoriser les utilisateurs à définir la politique de mot de passe du compte](#creds-policies-set-password-policy)
+ [Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM](#iampolicy-generate-credential-report)
+ [Autoriser toutes les actions IAM (Accès Admin)](#creds-policies-all-iam)
## Autoriser un utilisateur à répertorier les groupes, les utilisateurs et les politiques d'un compte, ainsi que d'autres informations à des fins d'élaboration de rapports
La politique suivante permet à l'utilisateur d'appeler toute action IAM qui commence par la chaîne `Get` ou `List` et générer des rapports. Pour afficher l'exemple de politique, consultez [IAM : autorise l'accès en lecture seule à la console IAM](reference_policies_examples_iam_read-only-console.md).
## Autoriser un utilisateur à gérer l'adhésion à un groupe
La politique suivante permet à l'utilisateur de mettre à jour l'appartenance au groupe appelé *MarketingGroup*. Pour afficher l'exemple de politique, consultez [IAM : autorise la gestion des membres d'un groupe par programmation et dans la console](reference_policies_examples_iam_manage-group-membership.md).
## Autoriser un utilisateur à gérer les utilisateurs IAM
La politique suivante permet à un utilisateur d'exécuter toutes les tâches associées à la gestion des utilisateurs IAM, mais pas d'effectuer d'actions sur d'autres entités, par exemple la création de groupes ou de politiques. Les actions autorisées sont notamment :
+ Création de l'utilisateur (action [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)).
+ Suppression de l'utilisateur. Cette tâche requiert des autorisations pour effectuer toutes les actions suivantes : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html).
+ Affichage de la liste des utilisateurs du compte et des groupes (les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) et [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)).
+ Affichage de la liste et suppression des politiques pour l’utilisateur (les actions [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html))
+ Changement de nom ou modification du chemin d'accès pour l'utilisateur (action [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). L'élément `Resource` doit inclure un ARN qui inclut à la fois le chemin d'accès source et le chemin d'accès cible. Pour plus d'informations sur les chemins d'accès, consultez [Noms conviviaux et chemins](reference_identifiers.md#identifiers-friendly-names).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:ListPolicies",
"iam:GetPolicy",
"iam:UpdateUser",
"iam:AttachUserPolicy",
"iam:ListEntitiesForPolicy",
"iam:DeleteUserPolicy",
"iam:DeleteUser",
"iam:ListUserPolicies",
"iam:CreateUser",
"iam:RemoveUserFromGroup",
"iam:AddUserToGroup",
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:PutUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListUsers",
"iam:GetUser",
"iam:DetachUserPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
"Effect": "Allow",
"Action": [
"iam:GetAccount*",
"iam:ListAccount*"
],
"Resource": "*"
}
]
}
```
------
Plusieurs autorisations incluses dans la politique précédente permettent à l'utilisateur d'exécuter des tâches dans AWS Management Console. Les utilisateurs qui exécutent des tâches liées à l'utilisateur uniquement à partir de l'[AWS CLI](https://aws.amazon.com/cli/)API de requête HTTP [AWS SDKs](https://aws.amazon.com/tools/), de, ou de l'API de requête IAM peuvent ne pas avoir besoin de certaines autorisations. Par exemple, si les utilisateurs connaissent déjà l'ARN des politiques à détacher d'un utilisateur, ils n'ont pas besoin d'autorisation `iam:ListAttachedUserPolicies`. La liste exacte des autorisations requises par un utilisateur varie en fonction des tâches qu'il doit effectuer lorsqu'il gère d'autres utilisateurs.
Les autorisations suivantes de la politique permettent l'accès aux tâches utilisateur via AWS Management Console:
+ `iam:GetAccount*`
+ `iam:ListAccount*`
## Autoriser les utilisateurs à définir la politique de mot de passe du compte
Vous pouvez octroyer à certains utilisateurs des autorisations pour obtenir et mettre à jour la [politique de mot de passe](id_credentials_passwords_account-policy.md) de votre Compte AWS. Pour afficher l'exemple de politique, consultez [IAM : permet de définir les exigences de mot de passe du compte par programmation et dans la console](reference_policies_examples_iam_set-account-pass-policy.md).
## Autoriser les utilisateurs à générer et extraire des rapports d'informations d'identification IAM
Vous pouvez autoriser les utilisateurs à générer et à télécharger un rapport répertoriant tous les utilisateurs de votre Compte AWS. Le rapport indique également l'état de plusieurs informations d'identification utilisateur, y compris les mots de passe, les clés d'accès, les dispositifs MFA et les certificats de signature. Pour de plus amples informations sur les rapports d'informations d'identification, veuillez consulter [Générez des rapports d'identification pour votre Compte AWS](id_credentials_getting-report.md). Pour afficher l'exemple de politique, consultez [IAM : générer et extraire des rapports sur les informations d'identification IAM](reference_policies_examples_iam-credential-report.md).
## Autoriser toutes les actions IAM (Accès Admin)
Il est possible d'accorder à certains utilisateurs des autorisations administratives leur permettant d'effectuer toutes les actions dans IAM, y compris la gestion des mots de passe et des clés d'accès, des dispositifs MFA et des certificats utilisateur. L'exemple de politique suivant accorde ces autorisations.
**Avertissement**
Lorsque vous accordez à un utilisateur un accès complet à IAM, il n'y a aucune limite aux autorisations qu'il peut accorder à him/herself ou à d'autres personnes. Ainsi, l'utilisateur peut créer de nouvelles entités IAM (utilisateurs ou rôles) et leur accorder un accès total à toutes les ressources de votre Compte AWS. Lorsque vous octroyez à un utilisateur un accès complet à IAM, vous lui donnez en réalité un accès total à toutes les ressources de votre Compte AWS. Cela inclut la possibilité de supprimer toutes les ressources. Vous devez octroyer ces autorisations aux administrateurs approuvés uniquement, et vous devez également mettre en œuvre l'authentification multi-facteur (MFA) pour ces administrateurs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
}
```
------