Groupes d'utilisateurs IAM - AWS Identity and Access Management

Groupes d'utilisateurs IAM

Un groupe d'utilisateurs IAM est un ensemble d'utilisateurs IAM. Les groupes d'utilisateurs vous permettent de spécifier des autorisations pour plusieurs utilisateurs, ce qui permet de gérer plus facilement les autorisations pour ces utilisateurs. Par exemple, vous pouvez avoir un groupe d'utilisateurs appelé Admins (Administrateurs) et accorder à ce groupe d'utilisateurs les types d'autorisations dont les administrateurs ont généralement besoin. Tous les utilisateurs de ce groupe d'utilisateurs reçoivent automatiquement les autorisations attribuées au groupe d'utilisateurs. Si un nouvel utilisateur rejoint votre organisation et a besoin de privilèges d'administrateur, vous pouvez lui attribuer les autorisations appropriées en l'ajoutant à ce groupe d'utilisateurs. De même, si une personne change de poste dans votre organisation, au lieu de modifier les autorisations de cet utilisateur, vous pouvez retirer celui-ci de l'ancien groupe d'utilisateurs et l'ajouter aux nouveaux groupes d'utilisateurs appropriés.

Un groupe d'utilisateurs ne peut pas être identifié en tant que Principal dans une politique basée sur les ressources. Un groupe d'utilisateurs est un moyen d'attacher des politiques à plusieurs utilisateurs à la fois. Lorsque vous attachez une politique basée sur l'identité à un groupe d'utilisateurs, tous les utilisateurs du groupe reçoivent les autorisations du groupe d'utilisateurs. Pour plus d'informations sur ces types de politique, consultez Politiques basées sur l'identité et Politiques basées sur une ressource.

Voici quelques caractéristiques importantes des groupes d'utilisateurs :

  • Un groupe d'utilisateurs peut contenir de nombreux utilisateurs et un utilisateur peut appartenir à plusieurs groupes d'utilisateurs.

  • Les groupes d'utilisateurs ne peuvent pas être imbriqués ; ils ne peuvent contenir que des utilisateurs, pas d'autres groupes d'utilisateurs.

  • Il n'existe pas de groupe d'utilisateurs par défaut qui inclut automatiquement tous les utilisateurs du compte AWS. Si vous souhaitez disposer d'un groupe d'utilisateurs de ce type, vous devez le créer et lui affecter chaque nouvel utilisateur.

  • Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter Quotas IAM et AWS STS.

Le schéma suivant illustre un exemple simple de petite entreprise. Le propriétaire de l'entreprise crée un groupe d'utilisateurs Admins pour que des utilisateurs créent et gèrent d'autres utilisateurs au fur et à mesure que l'entreprise se développe. Le groupe d'utilisateurs Admins crée un groupe d'utilisateurs Developers et un groupe d'utilisateurs Test. Chacun de ces groupes d'utilisateurs se compose d'utilisateurs (personnes et applications) qui interagissent avec AWS (Jim, Brad, DevApp1, etc.). Chaque utilisateur dispose d'un ensemble individuel d'informations d'identification de sécurité. Dans cet exemple, chaque utilisateur appartient à un seul groupe d'utilisateurs. Cependant, les utilisateurs peuvent appartenir à plusieurs groupes d'utilisateurs.


      Exemple de la relation entre des comptes, des utilisateurs et des groupes d'utilisateurs AWS