IAM:: 特定の IAM ユーザーによるグループの管理をプログラムによりコンソールで許可する
この例は、特定の IAM ユーザーが AllUsers グループを管理するための、特定の ID ベースのポリシーを作成する方法を示しています。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。
このポリシーで行うこと
-
AllowAllUsersToListAllGroupsステートメントでは、すべてのグループを一覧表示します。これはコンソールのアクセスに必要です。このアクセス許可は、リソース ARN をサポートしていないため、独自のステートメント内にある必要があります。代わりに"Resource" : "*"を指定するアクセス許可を使用します。 -
AllowAllUsersToViewAndManageThisGroupステートメントは、グループリソースタイプに対して実行できるすべてのグループアクションを許可します。グループリソースタイプではなくユーザリソースタイプで実行できるListGroupsForUserアクションは許可されていません。IAM アクションに指定できるリソースタイプの詳細については、「AWS Identity and Access Management のアクション、リソース、条件キー」を参照してください。 -
LimitGroupManagementAccessToSpecificUsersステートメントは、指定した名前を持つユーザーが書き込みおよびアクセス許可管理グループのアクションにアクセスすることを拒否します。ポリシーで指定されたユーザーがグループに変更しようとすると、このステートメントはリクエストを拒否しません。このリクエストは、AllowAllUsersToViewAndManageThisGroupステートメントで許可されます。他のユーザーがこれらのオペレーションを実行しようとすると、リクエストは拒否されます。IAM コンソールでこのポリシーを作成している間、[書き込み] または [アクセス許可管理] アクセスレベルで定義されている IAM アクションを表示できます。これを行うには、[JSON] タブから [Visual editor (ビジュアルエディタ)] タブに切り替えます。アクセスレベルの詳細については、「AWS Identity and Access Management のアクション、リソース、および条件キー」を参照してください。
