如果你想要实现一个不能更新、删除和列出所有用户的功能，可以使用以下代码示例：

from flask import Flask, jsonify, request

app = Flask(__name__)

# 用于存储用户的数据
users = [
    {
        'id': 1,
        'name': 'Alice',
        'age': 25
    },
    {
        'id': 2,
        'name': 'Bob',
        'age': 30
    }
]

# 获取所有用户
@app.route('/users', methods=['GET'])
def get_users():
    return jsonify(users)

# 获取单个用户
@app.route('/users/', methods=['GET'])
def get_user(user_id):
    user = next((user for user in users if user['id'] == user_id), None)
    if user:
        return jsonify(user)
    else:
        return jsonify({'message': 'User not found'}), 404

# 创建用户
@app.route('/users', methods=['POST'])
def create_user():
    new_user = {
        'id': len(users) + 1,
        'name': request.json['name'],
        'age': request.json['age']
    }
    users.append(new_user)
    return jsonify(new_user), 201

# 不能更新用户
@app.route('/users/', methods=['PUT'])
def update_user(user_id):
    return jsonify({'message': 'Updating user is not allowed'}), 403

# 不能删除用户
@app.route('/users/', methods=['DELETE'])
def delete_user(user_id):
    return jsonify({'message': 'Deleting user is not allowed'}), 403

if __name__ == '__main__':
    app.run(debug=True)

上述代码使用Flask框架创建了一个简单的API，包含了获取所有用户、获取单个用户、创建用户、更新用户和删除用户的功能。然而，根据需求，我们将更新和删除用户的操作禁止掉，并返回403状态码和相应的错误信息。

请注意，这只是一个简单的示例，实际项目中可能需要更复杂的身份验证和授权机制来确保只有特定用户或角色可以执行特定操作。