j9九游会登录/ 统一身份认证服务 iam_统一身份认证服务(新版)/ 用户指南/ 权限管理/ 访问iam资源所需的权限
更新时间:2026-02-05 gmt 08:00
查看pdf

访问iam资源所需的权限-j9九游会登录

本节给出一些访问iam自身资源所需权限的示例,包含允许用户管理自己的密码、访问密钥等等。

允许对iam控制台进行只读访问

您可以直接使用名为iamreadonlypolicy的系统身份策略实现对iam控制台的只读访问,也可以使用下面的示例来达到目标。此示例主要说明如何创建身份策略以允许iam用户执行任何get、list、check、show类的iam操作。星号作为通配符,在身份策略中使用iam:*:get*时,生成的权限会包括授权项第3段以get开头的所有iam操作,例如,iam:users:getuserv5和iam:groups:getgroupv5等。使用通配符是非常有用的,特别是将来iam添加了新的授权项,在这种情况下,授予的权限会自动包含新增的授权项。 
{
	"version": "5.0",
	"statement": [{
		"effect": "allow",
		"action": [
			"iam:*:get*",
			"iam:*:list*",
			"iam:*:check*",
			"iam:*:show*"
		]
	}]
}

允许用户管理用户组的成员

以下身份策略示例允许更新名为developmentteam用户组的成员关系。在第一个statement中,允许用户列出所有的用户和用户组以及查看用户的详细信息;在第二个statement中,允许用户查看developmentteam用户组的详情,以及为developmentteam用户组添加或移除用户组成员。注意,在使用时您需要将替换为您账号的实际id。 
{
	"version": "5.0",
	"statement": [{
			"effect": "allow",
			"action": [
				"iam:groups:listgroupsv5",
				"iam:users:getuserv5",
				"iam:users:listusersv5"
			]
		},
		{
			"effect": "allow",
			"action": [
				"iam:groups:getgroupv5",
				"iam:permissions:addusertogroupv5",
				"iam:permissions:removeuserfromgroupv5"
			],
			"resource": [
				"iam:*::group:developmentteam"
			]
		}
	]
}

允许用户管理iam用户

以下身份策略示例允许用户执行iam用户相关的操作。在第一个statement中,允许用户查询用户详细信息以及列出用户列表;在第二个statement中,允许用户查创建iam用户及其登录信息;在第三个statement中,允许用户删除iam用户,注意删除iam用户前需要先解绑iam用户身上附加的身份策略;在第四个statement中,允许用户更新iam用户的基本信息,例如启用状态和描述信息等;在第五个statement中,允许用户查看身份策略以及为iam用户附加和分离身份策略。 
{
	"version": "5.0",
	"statement": [{
			"effect": "allow",
			"action": [
				"iam:users:getuserv5",
				"iam:users:listusersv5"
			]
		},
		{
			"effect": "allow",
			"action": [
				"iam:users:createuserv5",
				"iam:users:createloginprofilev5"
			]
		},
		{
			"effect": "allow",
			"action": [
				"iam:users:deleteuserv5"
			]
		},
		{
			"effect": "allow",
			"action": [
				"iam:users:updateuserv5"
			]
		},
		{
			"effect": "allow",
			"action": [
				"iam:policies:getv5",
				"iam:policies:getversionv5",
				"iam:policies:listv5",
				"iam:policies:listversionsv5",
				"iam:users:attachpolicyv5",
				"iam:users:detachpolicyv5",
				"iam:users:listattachedpoliciesv5"
			]
		}
	]
}

允许用户设置账号的密码策略

以下身份策略示例允许用户查看和设置您账号中的密码策略,密码策略一般包含:密码中包含的字符种类、密码最小长度、密码有效期策略和密码最短使用时间策略等。 
{
	"version": "5.0",
	"statement": [{
		"effect": "allow",
		"action": [
			"iam:securitypolicies:getpasswordpolicyv5",
			"iam:securitypolicies:updatepasswordpolicyv5"
		]
	}]
}

允许用户执行所有的iam操作

以下身份策略示例允许用户在iam中执行所有操作,包括管理密码、访问密钥、mfa设备等。

当您向用户授予对iam的完全访问权时,对用户可以向自己或他人授予的权限将没有限制。用户可以创建新的iam主体(用户或信任委托)并授予这些主体对您账号中所有资源的完全访问权限。您向用户授予对iam的完全访问权限时,实际上是向用户授予对您账号中所有资源的完全访问权限,其中包括删除所有资源的权限。您应该仅将这些权限授予信任的管理员,还应对这些管理员强制采用多因素认证 (mfa)。

{
	"version": "5.0",
	"statement": [{
		"effect": "allow",
		"action": [
			"iam:*:*"
		]
	}]
}
父主题: 权限管理

相关文档

网站地图