建立 IAM 使用者群組 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 使用者群組

注意

最佳作法是,建議您要求人類使用者與身分識別提供者使用同盟,才能 AWS 使用臨時登入資料進行存取。如果遵循最佳實務,則您不用管理 IAM 使用者和群組。相反地,您的使用者和群組會在外部進行管理, AWS 並且能夠以同盟身分存取 AWS 資源。聯合身分識別是來自企業使用者目錄、Web 身分識別提供者、 AWS Directory Service、Identity Center 目錄的使用者,或使用透過身分識別來源提供的認證存取 AWS 服務的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center,請參閱使用指南中的在 IAM 身分中心中管理身分,以取得有關在 IAM 身分中心建立使用AWS IAM Identity Center 者和群組的資訊。

若要設定使用者群組,您需要建立群組。然後,根據您期望群組中的使用者執行的工作,來提供群組許可。最後,將使用者新增到群組。

如需有關建立使用者群組所需的許可資訊,請參閱 存取 IAM 資源所需的許可

建立 IAM 使用者群組和連接政策 (主控台)
  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中選擇 User groups (使用者群組),然後選擇 Create group (建立群組)。

  3. 針對 User group name (使用者群組名稱),請輸入群組名稱。

    注意

    AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱 IAM 和 AWS STS 配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您無法建立名為 ADMINSadmins 的群組。

  4. 在使用者清單中,針對您要新增到群組的每個使用者,選取其核取方塊。

  5. 在政策清單中,對於您要套用到群組所有成員的每個政策選取核取方塊。

  6. 選擇 Create group (建立群組)

若要建立 IAM 使用者群組 (AWS CLI 或 AWS API)

請使用下列其中一個: