Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # IAM: Memungkinkan pengguna IAM tertentu untuk mengelola grup secara terprogram dan di konsol Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM tertentu mengelola grup. `AllUsers` Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh {{italicized placeholder text}} dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md). Apa yang dikerjakan oleh kebijakan ini? + Pernyataan `AllowAllUsersToListAllGroups` ini memungkinkan pendaftaran semua grup. Hal ini diperlukan untuk akses konsol. Izin ini harus berada dalam pernyataannya sendiri karena tidak mendukung ARN sumber daya. Alih-alih, izin ini menentukan `"Resource" : "*"`. + Pernyataan `AllowAllUsersToViewAndManageThisGroup` ini mengizinkan semua tindakan grup yang dapat dilakukan pada tipe sumber daya grup. Ia tidak mengizinkan `ListGroupsForUser` tindakan, yang dapat dilakukan pada tipe sumber daya pengguna dan bukan tipe sumber daya grup. Untuk informasi selengkapnya tentang jenis sumber daya yang dapat Anda tentukan untuk tindakan IAM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions). + `LimitGroupManagementAccessToSpecificUsers`Pernyataan tersebut menolak pengguna dengan akses nama yang ditentukan untuk menulis dan tindakan grup manajemen izin. Ketika pengguna yang ditentukan dalam kebijakan mencoba untuk membuat perubahan pada grup, pernyataan ini tidak menolak permintaan tersebut. Permintaan tersebut akan diizinkan oleh `AllowAllUsersToViewAndManageThisGroup` pernyataan. Jika pengguna lain mencoba melakukan operasi ini, permintaannya ditolak. Anda dapat melihat tindakan IAM yang dijelaskan dengan **Tulis** atau **pengelolaan izin** tingkat akses sambil membuat kebijakan ini di konsol IAM. Untuk melakukan hal ini, beralihlah dari tab **JSON** ke tab**editor Visual**. Untuk informasi selengkapnya tentang tingkat akses, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAllGroups", "Effect": "Allow", "Action": "iam:ListGroups", "Resource": "*" }, { "Sid": "AllowAllUsersToViewAndManageThisGroup", "Effect": "Allow", "Action": "iam:*Group*", "Resource": "arn:aws:iam::*:group/{{AllUsers}}" }, { "Sid": "LimitGroupManagementAccessToSpecificUsers", "Effect": "Deny", "Action": [ "iam:AddUserToGroup", "iam:CreateGroup", "iam:RemoveUserFromGroup", "iam:DeleteGroup", "iam:AttachGroupPolicy", "iam:UpdateGroup", "iam:DetachGroupPolicy", "iam:DeleteGroupPolicy", "iam:PutGroupPolicy" ], "Resource": "arn:aws:iam::*:group/{{AllUsers}}", "Condition": { "StringNotEquals": { "aws:username": [ "{{srodriguez}}", "{{mjackson}}", "{{adesai}}" ] } } } ] } ``` ------