Grupos de usuários do IAM - AWS Identity and Access Management

Grupos de usuários do IAM

Um grupo de usuários do IAM é um conjunto de usuários do IAM. Os grupos de usuários permitem especificar permissões para vários usuários, o que pode facilitar o gerenciamento das permissões para esses usuários. Por exemplo, você pode ter um grupo de usuários chamado Admins e dar a esse grupo de usuários as permissões normais dos administradores. Qualquer usuário desse grupo de usuários tem automaticamente permissões de grupo Admins. Se um novo usuário ingressar na organização e precisar de privilégios de administrador, você poderá atribuir as permissões apropriadas adicionando o usuário ao grupo de usuários Admins. Se alguém mudar de cargo na organização, em vez de editar as permissões do usuário, você poderá removê-lo dos grupos de usuários antigos e adicioná-lo a novos grupos de usuários apropriados.

Você pode anexar uma política baseada em identidade a um grupo de usuários para que todos os usuários do grupo de usuários recebem as permissões da política. Não é possível identificar um grupo de usuários como Principal em uma política (como uma política baseada em recursos) porque os grupos são relacionados com permissões, não autenticação, e as entidades principais são entidades autenticadas do IAM. Para obter mais informações sobre tipos de política, consulte Políticas baseadas em identidade e em recurso.

Veja a seguir algumas características importantes de grupos de usuários:

  • Um grupo de usuários pode conter muitos usuários e um usuário pode pertencer a vários grupos de usuários.

  • Os grupos de usuários não podem ser aninhados; eles podem conter apenas usuários, não outros grupos de usuários.

  • Não existe um grupo de usuários padrão que inclua automaticamente todos os usuários da Conta da AWS. Se você deseja ter um grupo de usuários como este, deve criá-lo e atribuir cada novo usuário a ele.

  • O número e o tamanho dos recursos do IAM em uma Conta da AWS, como o número de grupos e o número de grupos dos quais um usuário pode ser membro, são limitados. Para mais informações, consulte IAM e cotas, requisitos de nome e limites de caracteres do AWS STS.

O diagrama a seguir mostra um exemplo simples de uma pequena empresa. O proprietário da empresa cria um grupo de usuários Admins para que os usuários criem e gerenciem outros usuários à medida que a empresa cresce. O grupo de usuários Admins cria um grupo de usuários Developers e um grupo de usuários Test. Cada um desses grupos de usuários consiste em usuários (humanos e aplicações) que interagem com a AWS (Jim, Brad, DevApp1 e assim por diante). Cada usuário tem um conjunto individual de credenciais de segurança. Neste exemplo, cada usuário pertence a um único grupo de usuários. No entanto, os usuários podem pertencer a vários grupos de usuários.


      Exemplo de relacionamento entre contas, usuários e grupos de usuários da AWS