AWS Identity and Access Management
Guide de l'utilisateur

Groupes IAM

Un groupe IAM est un ensemble d'utilisateurs IAM. Les groupes vous permettent de spécifier des autorisations pour plusieurs utilisateurs, ce qui permet de gérer plus facilement les autorisations pour ces utilisateurs. Par exemple, vous pouvez avoir un groupe appelé Administrateurs et accorder à ce groupe les types d'autorisations dont les administrateurs ont généralement besoin. Tous les utilisateurs de ce groupe reçoivent automatiquement les autorisations attribuées au groupe. Si un nouvel utilisateur rejoint votre organisation et a besoin de privilèges d'administrateur, vous pouvez lui attribuer les autorisations appropriées en l'ajoutant à ce groupe. De même, si une personne change de poste dans votre organisation, au lieu de modifier les autorisations de cet utilisateur, vous pouvez retirer celui-ci de l'ancien groupe et l'ajouter aux nouveaux groupes appropriés.

Notez qu'un groupe n'est pas vraiment une « identité » dans IAM, car il ne peut pas être identifié en tant que Principal dans une stratégie d'autorisation. Il s'agit simplement d'un moyen d'attacher des stratégies à plusieurs utilisateurs à la fois.

Voici quelques caractéristiques importantes des groupes :

  • Un groupe peut contenir de nombreux utilisateurs et un utilisateur peut appartenir à plusieurs groupes.

  • Les groupes ne peuvent pas être imbriqués ; ils ne peuvent contenir que des utilisateurs, pas d'autres groupes.

  • Il n'existe pas de groupe par défaut qui inclut automatiquement tous les utilisateurs du compte AWS. Si vous souhaitez disposer d'un groupe de ce type, vous devez le créer et lui affecter chaque nouvel utilisateur.

  • Il existe une limite quant au nombre de groupes dont vous pouvez disposer, et quant au nombre de groupes auxquels un utilisateur peut appartenir. Pour plus d'informations, consultez Limitations des entités et objets IAM.

Le schéma suivant illustre un exemple simple de petite entreprise. Le propriétaire de l'entreprise crée un groupe Admins pour que des utilisateurs créent et gèrent d'autres utilisateurs au fur et à mesure que l'entreprise se développe. Le groupe Admins crée un groupe Developers et un groupe Test. Chacun de ces groupes se compose d'utilisateurs (personnes et applications) qui interagissent avec AWS (Jim, Brad, DevApp1, etc.). Chaque utilisateur dispose d'un ensemble individuel d'informations d'identification de sécurité. Dans cet exemple, chaque utilisateur appartient à un seul groupe. Cependant, les utilisateurs peuvent appartenir à plusieurs groupes.


        Exemple de la relation entre des comptes, des utilisateurs et des groupes AWS