# Exemplos de política para administrar recursos do IAM
<a name="id_credentials_delegate-permissions_examples"></a>

Veja seguir exemplos de políticas do IAM que permitem aos usuários executar tarefas associadas ao gerenciamento de usuários, grupos e credenciais do IAM. Isso inclui políticas que permitem que os usuários gerenciem as próprias senhas, chaves de acesso e dispositivos de autenticação multifator (MFA).

Para obter exemplos de políticas que permitem aos usuários realizar tarefas com outros produtos da AWS, como Amazon S3, Amazon EC2 e DynamoDB, consulte [Exemplos de políticas baseadas em identidade do IAM](access_policies_examples.md). 

**Topics**
+ [Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório](#iampolicy-example-userlistall)
+ [Permitir que um usuário gerencie a associação de um grupo](#iampolicy-example-usermanagegroups)
+ [Permitir que um usuário gerencie usuários do IAM](#creds-policies-users)
+ [Permitir que usuários definam a política de senha da conta](#creds-policies-set-password-policy)
+ [Permitir que usuários gerem e recuperem relatórios de credenciais do IAM](#iampolicy-generate-credential-report)
+ [Permitir todas as ações do IAM (acesso de administrador)](#creds-policies-all-iam)

## Permitir que um usuário liste grupos, usuários, políticas e outros itens da conta para fins de relatório
<a name="iampolicy-example-userlistall"></a>

A política a seguir permite que o usuário chamem qualquer ação do IAM que comece com a string `Get` ou `List` e gere relatórios. Para visualizar a política de exemplo, consulte [IAM: permite acesso somente leitura ao console do IAM](reference_policies_examples_iam_read-only-console.md). 

## Permitir que um usuário gerencie a associação de um grupo
<a name="iampolicy-example-usermanagegroups"></a>

A política a seguir permite que os usuários atualizem a associação do grupo chamado *MarketingGroup*. Para visualizar a política de exemplo, consulte [IAM: permite gerenciar a associação de um grupo de forma programática e no console](reference_policies_examples_iam_manage-group-membership.md). 

## Permitir que um usuário gerencie usuários do IAM
<a name="creds-policies-users"></a>

A política a seguir permite que um usuário execute todas as tarefas associadas ao gerenciamento de usuários do IAM, mas não execute ações em outras entidades, como a criação de grupos ou políticas. As ações permitidas incluem: 
+ Criar o usuário (a ação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Excluir o usuário. Esta tarefa requer permissões para executar todas as seguintes ações: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Listar os usuários na conta e em grupos (as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Listar e remover políticas do usuário (as ações [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Renomear ou alterar o caminho para o usuário (a ação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). O elemento `Resource` deve incluir um nome de recurso da Amazon (ARN) que abrange o caminho da fonte e o caminho de destino. Para obter mais informações sobre caminhos, consulte [Nomes amigáveis e caminhos](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Várias permissões incluídas na política anterior permitem que o usuário execute tarefas no Console de gerenciamento da AWS. Os usuários que executam tarefas relacionadas ao usuário apenas na [AWS CLI](https://aws.amazon.com/cli/), nos [AWS SDKs](https://aws.amazon.com/tools/) ou na API de consulta HTTP do IAM podem não precisar de determinadas permissões. Por exemplo, se os usuários já conhecerem o nome de recurso da Amazon (ARN) das políticas a serem desanexadas de um usuário, eles não precisarão da permissão `iam:ListAttachedUserPolicies`. A lista exata de permissões que um usuário requer depende das tarefas que o usuário deve executar enquanto gerencia outros usuários. 

As seguintes permissões na política permitem acesso a tarefas do usuário por meio do Console de gerenciamento da AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Permitir que usuários definam a política de senha da conta
<a name="creds-policies-set-password-policy"></a>

Você pode conceder a alguns usuários permissões para obter e atualizar a [política de senha](id_credentials_passwords_account-policy.md) da sua Conta da AWS. Para visualizar a política de exemplo, consulte [IAM: permite configurar os requisitos de senha da conta de forma programática e no console](reference_policies_examples_iam_set-account-pass-policy.md). 

## Permitir que usuários gerem e recuperem relatórios de credenciais do IAM
<a name="iampolicy-generate-credential-report"></a>

Você pode conceder aos usuários permissão para gerar e baixar um relatório que liste todos os usuários na sua Conta da AWS. O relatório também lista o status de diversas credenciais de usuário, incluindo senhas, chaves de acesso, dispositivos MFA e certificados de assinatura. Para obter mais informações sobre relatórios de credenciais do , consulte [Gerar relatórios de credenciais para sua Conta da AWS](id_credentials_getting-report.md). Para visualizar a política de exemplo, consulte [IAM: gerar e recuperar relatórios de credenciais do IAM](reference_policies_examples_iam-credential-report.md). 

## Permitir todas as ações do IAM (acesso de administrador)
<a name="creds-policies-all-iam"></a>

Você pode conceder a alguns usuários permissões administrativas para executar todas as ações no IAM, incluindo o gerenciamento de senhas, chaves de acesso, dispositivos com MFA e certificados de usuário. No exemplo a seguir a política concede estas permissões. 

**Atenção**  
Quando você concede a um usuário acesso total ao IAM, não há limite de permissões que um usuário possa conceder a si mesmo e aos outros. O usuário pode criar novas entidades (usuários ou perfis) do IAM e conceder a essas entidades acesso total a todos os recursos na sua Conta da AWS. Ao conceder a um usuário acesso total ao IAM, você está efetivamente fornecendo a ele acesso total a todos os recursos na sua Conta da AWS. Isso inclui acesso para excluir todos os recursos. Você deve conceder essas permissões apenas a administradores confiáveis e aplicar autenticação multifator (MFA) a esses administradores.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------