IAM 使用者群組 - AWS Identity and Access Management

IAM 使用者群組

IAM 使用者群組是 IAM 使用者的集合。使用者群組可讓您指定多個使用者的許可,從而可以更輕鬆地管理這些使用者的許可。例如,您可以擁有一個名為 Admins 的使用者群組,並為該使用者群組提供典型的管理員許可。該使用者群組中的任何使用者都自動擁有 Admins 群組許可。如果新使用者加入您的組織並需要管理員權限,您可以透過將使用者新增到 Admins 使用者群組來指派適當的許可。如果某人在您的組織中變更工作,而不是編輯該使用者的許可,您可以將他或她從舊使用者群組中移除,並將他或她新增到適當的新使用者群組中。

您可以將身分型政策連接至使用者群組,以便使用者群組中的所有使用者都會收到該政策的許可。您無法將使用者群組識別為政策 (例如資源型政策) 中的 Principal,因為群組與許可 (而非驗證) 相關,並且主體是經過驗證的 IAM 實體。如需有關政策類型的詳細資訊,請參閱 以身分為基礎和以資源為基礎的政策

以下是使用者群組的一些重要特性:

  • 使用者群組可以包含許多使用者,使用者可以屬於多個使用者群組。

  • 使用者群組不能為巢狀;群組只能包含使用者,而不包含其他使用者群組。

  • 沒有預設使用者群組自動包含 AWS 帳戶 中的所有使用者。如果您想擁有這樣的使用者群組,您必須建立它並指派每個新使用者到該群組。

  • AWS 帳戶 中的 IAM 資源數量和大小 (例如群組數目和使用者可以成為其成員的群組數目) 會受到限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制

下圖顯示一個小型公司的簡單範例。該公司擁有者為使用者建立 Admins 使用者群組,以便隨著公司的成長建立和管理其他使用者。所以此 Admins 使用者群組會建立 Developers 使用者群組和 Test 使用者群組。每個使用者群組都包含與 AWS (Jim、Brad、DevApp1 等) 互動的使用者 (人員和應用程式)。每個使用者都有一組個別的安全憑證。在這個範例中,每個使用者均屬於單一使用者群組。不過,使用者可屬於多個使用者群組。


      AWS 帳戶、使用者和使用者群組之間的關係範例