IAM-Benutzergruppen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Auswahl von IAM-Benutzern. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzern angeben, was die Verwaltung der Berechtigungen für diese Benutzer erleichtert. Zum Beispiel können Sie eine Gruppe mit dem Namen Administratoren erstellen und dieser Gruppe die für Administratoren üblichen Berechtigungen erteilen. Jeder Benutzer in der Gruppe verfügt automatisch über Admins-Gruppenberechtigungen. Wenn ein neuer Benutzer Ihrer Organisation beitritt und Administratorrechte benötigt, können die entsprechenden Berechtigungen zuweisen, indem Sie den Benutzer zur Admins-Benutzergruppe hinzufügen. Wenn eine Person in Ihrem Unternehmen die Stelle wechselt, können Sie, anstatt die Berechtigungen des Benutzers zu bearbeiten, ihn aus den alten Benutzergruppen entfernen und ihn den entsprechenden neuen Benutzergruppen hinzufügen.

Sie können eine identitätsbasierte Richtlinie an eine Benutzergruppe anfügen, so dass alle Benutzer in der Benutzergruppe die Berechtigungen der Richtlinie erhalten. Sie können eine Benutzergruppe nicht als Principal in einer Richtlinie (z. B. einer ressourcenbasierten Richtlinie) identifizieren, da sich Gruppen auf Berechtigungen und nicht auf die Authentifizierung beziehen, während Prinzipale authentifizierte IAM-Entitäten sind. Weitere Informationen zu Richtlinientypen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Im Folgenden finden Sie einige wichtige Merkmale von Benutzergruppen:

  • Eine Gruppe kann viele Benutzer enthalten und ein Benutzer kann mehreren Gruppen angehören.

  • Gruppen können nicht verschachtelt werden. Sie können nur Benutzer, nicht andere Gruppen enthalten.

  • Es gibt keine Standard-Benutzergruppe, die automatisch alle Benutzer im AWS-Konto-Konto enthält. Wenn Sie eine solche Gruppe haben möchten, müssen Sie sie erstellen und ihr jeden neuen Benutzer zuweisen.

  • Die Anzahl und Größe der IAM-Ressourcen in einer AWS-Konto, z. B. die Anzahl der Gruppen und die Anzahl der Gruppen, denen ein Benutzer angehören kann, sind begrenzt. Weitere Informationen finden Sie unter IAM und Kontingente AWS STS.

Die folgende Abbildung zeigt ein einfaches Beispiel für ein kleines Unternehmen. Der Unternehmenseigentümer erstellt eine Admins-Gruppe für Benutzer, um andere Benutzer zu erstellen und zu verwalten, während das Unternehmen wächst. Die Admins-Benutzergruppe erstellt eine Developers-Benutzergruppe und eine Test-Benutzergruppe. Jede dieser Benutzergruppen besteht aus Benutzern (Menschen und Anwendungen), die mit AWS (Jim, Brad, DevApp 1 usw.) interagieren. Jeder Benutzer verfügt über individuelle Anmeldeinformationen. In diesem Beispiel gehört jeder Benutzer zu einer einzelnen Gruppe. Benutzer können jedoch mehreren Gruppen angehören.

Beispiel für eine Beziehung zwischen AWS-Konten Benutzern und Benutzergruppen