Gruppi di utenti IAM

Un gruppo di utenti IAM è una raccolta di utenti IAM. I gruppi di utenti consentono di specificare le autorizzazioni per più utenti e quindi la gestione delle autorizzazioni per quegli utenti può essere più facile. Ad esempio, potresti avere un gruppo di utenti chiamato Amministratori e concedere a tale gruppo di utenti le autorizzazioni tipiche degli amministratori. Qualsiasi utente all'interno di tale gruppo dispone automaticamente delle autorizzazioni del gruppo Amministratori. Se un nuovo utente entra a far parte dell'organizzazione e necessita dei privilegi di amministratore, puoi concedere le autorizzazioni appropriate aggiungendo l'utente al gruppo di utenti Amministratori. Se una persona cambia mansione all'interno dell'organizzazione, invece di modificare le autorizzazioni dell'utente puoi rimuoverlo dai gruppi di utenti attuali e aggiungerlo a nuovi gruppi di utenti appropriati.

Puoi collegare una policy basata sull'identità a un gruppo di utenti in modo che tutti gli utenti del gruppo ricevano le autorizzazioni della policy. Non è possibile identificare un gruppo di utenti come Principal in una policy (ad esempio una policy basata sulle risorse) perché i gruppi si riferiscono alle autorizzazioni, non all'autenticazione, e i principali sono entità IAM autenticate. Per ulteriori informazioni sui tipi di policy, consulta Policy basate sulle identità e policy basate su risorse.

Queste sono alcune delle caratteristiche importanti dei gruppi di utenti:

Un gruppo di utenti può contenere molti utenti e un utente può appartenere a più gruppi di utenti.
I gruppi di utenti non possono essere nidificati; possono contenere solo utenti, non altri gruppi di utenti.
Non esiste alcun gruppo di utenti predefinito che include automaticamente tutti gli utenti nell' Account AWS. Se desideri disporre di un gruppo di utenti di questo tipo, è necessario crearlo e assegnarvi ogni nuovo utente.
Il numero e la dimensione delle risorse IAM in un Account AWS, ad esempio il numero di gruppi e il numero di gruppi di cui un utente può essere membro, sono limitati. Per ulteriori informazioni, consulta IAM e AWS STS quote.

Il diagramma seguente mostra un semplice esempio di una piccola azienda. Il proprietario dell'azienda crea un gruppo di utenti Admins perché gli utenti possano creare e gestire altri utenti mentre l'azienda cresce. Il gruppo di utenti Admins crea un gruppo di utenti Developerse un gruppo di utenti Test. Ciascuno di questi gruppi di utenti è composto da utenti (umani e applicazioni) che interagiscono con AWS (Jim, Brad, DevApp 1 e così via). Ogni utente dispone di un singolo set di credenziali di sicurezza. In questo esempio, ogni utente appartiene a un singolo gruppo. Tuttavia, gli utenti possono appartenere a più gruppi di utenti.

Esempio di relazione tra Account AWS utenti e gruppi di utenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dei certificati server

Creazione di gruppi di utenti