使用者、群組和佈建

在 IAM 身分中心與使用者和群組合作時，請牢記下列考量事項。

用戶名和電子郵件地址的唯一

IAM 身分中心中的使用者必須具備唯一識別身分。IAM 身分中心會實作使用者名稱，該名稱是您使用者的主要識別碼。雖然大多數人將使用者名稱設定為等於使用者的電子郵件地址，但 IAM 身分中心和 SAML 2.0 標準並不需要這樣做。不過，許多 SAML 2.0 型應用程式會使用電子郵件地址做為使用者的唯一識別碼。這些應用程式會從 SAML 2.0 身分識別提供者在驗證期間傳送的宣告中取得此資訊。此類應用程序取決於每個用戶的電子郵件地址的唯一性。基於這個原因，IAM 身分中心允許您指定電子郵件地址以外的其他內容進行使用者登入。IAM 身分中心要求使用者的所有使用者名稱和電子郵件地址都是非空值且唯一的。

群組

群組是您定義的使用者的邏輯組合。您可以建立群組，並將使用者新增至群組。IAM 身分中心不支援將群組新增至群組 (巢狀群組)。將存取權指派給AWS 帳戶和應用程式時，群組非常有用。您可以將權限授予群組，而不是個別指派每個使用者。稍後，當您從群組中新增或移除使用者時，使用者會動態取得或失去指派給群組之帳戶和應用程式的存取權。

使用者和群組佈建

佈建是指讓使用者和群組資訊可供 IAM Identity Center 和AWS受管理的應用程式或客戶管理的應用程式使用的程序。您可以直接在 IAM 身分中心建立使用者和群組，或與 Active Directory 或外部身分識別提供者中擁有的使用者和群組合作。IAM 身分中心必須了解使用者和群組AWS 帳戶，才能使用 IAM 身分中心指派使用者和群組存取權限。同樣地，AWS受管應用程式和客戶受管應用程式也可以與 IAM Identity Center 感知的使用者和群組一起使用。

IAM 身分中心的佈建會根據您使用的身分識別來源而有所不同。如需詳細資訊，請參閱 管理身分識別來源。