# IAM: permite que os usuários do IAM gerenciem um grupo de forma programática e no console
<a name="reference_policies_examples_iam_users-manage-group"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que permita que usuários do IAM específicos gerenciem o grupo `AllUsers`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o {{texto do espaço reservado em itálico}} na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

O que essa política faz?
+ A instrução `AllowAllUsersToListAllGroups` permite listar todos os grupos. Isso é necessário para a concessão de acesso ao console. Essa permissão deve estar em sua própria instrução, pois ela não oferece suporte a um ARN de recurso. Em vez disso, as permissões especificam `"Resource" : "*"`.
+ A instrução `AllowAllUsersToViewAndManageThisGroup` permite todas as ações de grupo que podem ser executadas no tipo de recurso de grupo. Ela não permite a ação `ListGroupsForUser`, que pode ser executada em um tipo de recurso de usuário e não em um tipo de recurso de grupo. Para obter mais informações sobre os tipos de recursos que você pode especificar para uma ação do IAM, consulte [Ações, recursos e chaves de condição do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ A declaração `LimitGroupManagementAccessToSpecificUsers` nega aos usuários com os nomes especificados o acesso para gravação e ações de grupo de gerenciamento de permissões. Quando um usuário especificado na política tentar fazer alterações no grupo, essa instrução não negará a solicitação. Essa solicitação é permitida pela instrução `AllowAllUsersToViewAndManageThisGroup`. Se outros usuários tentarem executar essas operações, a solicitação será negada. Você pode visualizar as ações do IAM definidas com os níveis de acesso **Write** (Gravação) ou **Permissions management** (Gerenciamento de permissões) ao criar essa política no console do IAM. Para fazer isso, alterne da guia **JSON** para a guia **Visual editor (Editor visual)**. Para obter mais informações sobre níveis de acesso, consulte [Ações, recursos e chaves de condição do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/{{AllUsers}}"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/{{AllUsers}}",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "{{srodriguez}}",
                        "{{mjackson}}",
                        "{{adesai}}"
                    ]
                }
            }
        }
    ]
}
```

------