IAM 使用者群組 - AWS Identity and Access Management

IAM 使用者群組

IAM 使用者群組是 IAM 使用者的集合。使用者群組可讓您指定多個使用者的許可,從而可以更輕鬆地管理這些使用者的許可。例如,您可以擁有一個名為 Admins 的使用者群組,並為該使用者群組提供管理員通常需要的許可類型。該使用者群組中的任何使用者都自動擁有指派至該使用者群組的許可。如果新使用者加入您的組織並需要管理員許可,您可以透過將使用者新增到該使用者群組來分配適當的許可。同樣的,如果某人在您的組織中變更工作,而不是編輯該使用者的許可,您可以將他或她從舊使用者群組中移除,並將他或她新增到適當的新使用者群組中。

在資源型政策中,使用者群組無法被識別為 Principal。使用者群組是一次將政策連接至多個使用者的方法。當您將身分型政策連接至使用者群組時,使用者群組中的所有使用者都會收到來自使用者群組的許可。如需有關這些政策類型的詳細資訊,請參閱 以身分為基礎和以資源為基礎的政策

以下是使用者群組的一些重要特性:

  • 使用者群組可以包含許多使用者,使用者可以屬於多個使用者群組。

  • 使用者群組不能為巢狀;群組只能包含使用者,而不包含其他使用者群組。

  • 沒有預設使用者群組自動包含 AWS 帳戶中的所有使用者。如果您想擁有這樣的使用者群組,您必須建立它並指派每個新使用者到該群組。

  • AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額

下圖顯示一個小型公司的簡單範例。該公司擁有者為使用者建立 Admins 使用者群組,以便隨著公司的成長建立和管理其他使用者。所以此 Admins 使用者群組會建立 Developers 使用者群組和 Test 使用者群組。每個使用者群組都包含與 AWS (Jim、Brad、DevApp1 等) 互動的使用者 (人員和應用程式)。每個使用者都有一組個別的安全憑證。在這個範例中,每個使用者均屬於單一使用者群組。不過,使用者可屬於多個使用者群組。


      AWS 帳戶、使用者和使用者群組之間的關係範例