IAM 用户组

IAM 用户组是 IAM 用户的集合。利用用户组，可为多个用户指定权限，以便更轻松地管理这些用户的权限。例如，您可能有一个名为 Admins 的用户组，并向该用户组授予管理员通常需要的权限类型。该用户组中的所有用户均自动拥有 Admins 组权限。如果有新用户加入您的组织，并且需要管理员权限，则可通过将此用户添加到 Admins 用户组来分配相应的权限。如果您的组织中有成员更换工作，则不必编辑该用户的权限，只需从旧用户组中将此用户删除，然后将其添加到相应的新用户组即可。

您可以将基于身份的策略附加到用户组，以便该用户组中的所有用户都能获得该策略的权限。您无法在策略（例如基于资源的策略）中将用户组标识为 Principal，因为组与权限相关，与身份验证无关，并且主体是经过身份验证的 IAM 实体。有关策略类型的更多信息，请参阅基于身份的策略和基于资源的策略。

以下为用户组具有的一些重要特点：

一个用户组可包含多个用户，而一个用户又可归属于多个用户组。
用户组不能嵌套；其中只能包含用户，而不能包含其他用户组。
默认情况下，没有可自动包含 AWS 账户内所有用户的用户组。如果希望有这样的用户组，则需要创建该组，然后将每个新用户分配给它。
AWS 账户中 IAM 资源的数量和大小（例如组的数量和用户可加入的组的数量）是有限的。有关更多信息，请参阅 IAM 和 AWS STS 配额。

下图以一家小型公司作为简单示例。随着公司的发展，公司所有者为用户创建了一个 Admins 用户组来创建和管理其他用户。Admins 用户组会创建一个 Developers 用户组和 Test 用户组。这两个用户组都包含可与 AWS 交互的用户（人员和应用程序：Jim、Brad、DevApp1 等）。每个用户均拥有一组单独的安全证书。在此示例中，每个用户均属于单一用户组。不过，用户可归属于多个用户组。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

管理服务器证书

创建用户组