建立 IAM 使用者群組 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 使用者群組

注意

做為其中一項最佳實務,我們建議您要求人類使用者搭配身分提供者使用聯合功能,以便使用暫時性憑證存取 AWS。如果遵循最佳實務,則您不用管理 IAM 使用者和群組。反之,您的使用者和群組將在 AWS 外部受管,而且能夠以聯合身分存取 AWS 資源。聯合身分是來自您企業使用者目錄的使用者、Web 身分提供者、AWS Directory Service、Identity Center 目錄或透過身分來源提供的憑證來存取 AWS 的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center,請參閱《AWS IAM Identity Center 使用者指南》中的管理 IAM Identity Center 中的身分,以了解有關在 IAM Identity Center 中建立使用者和群組的資訊。

若要設定使用者群組,您需要建立群組。然後,根據您期望群組中的使用者執行的工作,來提供群組許可。最後,將使用者新增到群組。

如需有關建立使用者群組所需的許可資訊,請參閱 存取 IAM 資源所需的許可

建立 IAM 使用者群組和連接政策 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中選擇 User groups (使用者群組),然後選擇 Create group (建立群組)。

  3. 針對 User group name (使用者群組名稱),請輸入群組名稱。

    注意

    AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們無法透過大小寫進行區分。例如,您無法建立名為 ADMINSadmins 的群組。

  4. 在使用者清單中,針對您要新增到群組的每個使用者,選取其核取方塊。

  5. 在政策清單中,對於您要套用到群組所有成員的每個政策選取核取方塊。

  6. 選擇 Create group (建立群組)

建立 IAM 使用者群組 (AWS CLI 或 AWS API)

請使用下列其中一個: