本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 IAM 群組
注意
做為其中一項最佳實務,我們建議您要求人類使用者搭配身分提供者使用聯合功能,以便使用暫時性憑證存取 AWS。如果遵循最佳實務,則您不用管理 IAM 使用者和群組。反之,您的使用者和群組將在 AWS 外部受管,而且能夠以聯合身分存取 AWS 資源。聯合身分是來自您企業使用者目錄的使用者、Web 身分提供者、AWS Directory Service、Identity Center 目錄或透過身分來源提供的憑證來存取 AWS 的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center,請參閱《AWS IAM Identity Center 使用者指南》中的管理 IAM Identity Center 中的身分,以了解有關在 IAM Identity Center 中建立使用者和群組的資訊。
您可以建立 IAM 群組來管理具有類似角色或責任的多個使用者的存取許可。透過將政策連接至這些群組,可以授予或撤銷整組使用者的許可。您對群組許可所做的變更會自動套用至該群組的所有成員,確保存取控制保持一致,因此可以簡化安全政策的維護。建立群組之後,請根據您期望群組中 IAM 使用者要執行的工作類型向群組授予許可,然後將 IAM 使用者新增至群組。
如需有關建立 IAM 群組所需許可的資訊,請參閱存取 IAM 資源所需的許可。
建立 IAM 群組和連接政策
