IAM-Benutzergruppen - AWS Identity and Access Management

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Auswahl von IAM-Benutzern. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzern angeben, was die Verwaltung der Berechtigungen für diese Benutzer erleichtert. Zum Beispiel können Sie eine Gruppe mit dem Namen Administratoren erstellen und dieser Gruppe die für Administratoren üblichen Berechtigungen erteilen. Jeder Benutzer in der Gruppe verfügt automatisch über Admins-Gruppenberechtigungen. Wenn ein neuer Benutzer Ihrer Organisation beitritt und Administratorrechte benötigt, können die entsprechenden Berechtigungen zuweisen, indem Sie den Benutzer zur Admins-Benutzergruppe hinzufügen. Wenn eine Person in Ihrem Unternehmen die Stelle wechselt, können Sie, anstatt die Berechtigungen des Benutzers zu bearbeiten, ihn aus den alten Benutzergruppen entfernen und ihn den entsprechenden neuen Benutzergruppen hinzufügen.

Sie können eine identitätsbasierte Richtlinie an eine Benutzergruppe anfügen, so dass alle Benutzer in der Benutzergruppe die Berechtigungen der Richtlinie erhalten. Sie können eine Benutzergruppe nicht als Principal in einer Richtlinie (z. B. einer ressourcenbasierten Richtlinie) identifizieren, da sich Gruppen auf Berechtigungen und nicht auf die Authentifizierung beziehen, während Prinzipale authentifizierte IAM-Entitäten sind. Weitere Informationen zu Richtlinientypen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Im Folgenden finden Sie einige wichtige Merkmale von Benutzergruppen:

  • Eine Gruppe kann viele Benutzer enthalten und ein Benutzer kann mehreren Gruppen angehören.

  • Gruppen können nicht verschachtelt werden. Sie können nur Benutzer, nicht andere Gruppen enthalten.

  • Es gibt keine Standard-Benutzergruppe, die automatisch alle Benutzer im AWS-Konto-Konto enthält. Wenn Sie eine solche Gruppe haben möchten, müssen Sie sie erstellen und ihr jeden neuen Benutzer zuweisen.

  • Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto, z. B. die gesamte Anzahl der Gruppen und die Anzahl der Gruppen, in denen ein Benutzer Mitglied sein kann, sind begrenzt. Weitere Informationen finden Sie unter IAM und AWS STS-Kontingente.

Die folgende Abbildung zeigt ein einfaches Beispiel für ein kleines Unternehmen. Der Unternehmenseigentümer erstellt eine Admins-Gruppe für Benutzer, um andere Benutzer zu erstellen und zu verwalten, während das Unternehmen wächst. Die Admins-Benutzergruppe erstellt eine Developers-Benutzergruppe und eine Test-Benutzergruppe. Jede dieser Benutzergruppen besteht aus Benutzern (Menschen und Anwendungen), die mit AWS interagieren (Jim, Brad, DevApp1 und so weiter). Jeder Benutzer verfügt über individuelle Anmeldeinformationen. In diesem Beispiel gehört jeder Benutzer zu einer einzelnen Gruppe. Benutzer können jedoch mehreren Gruppen angehören.


      Beispiel für die Beziehung zwischen AWS-Konten, Benutzern und Benutzergruppen