Grupos de usuarios de IAM

Un grupo de usuarios de IAM es un conjunto de usuarios de IAM. Los grupos de usuarios le permiten especificar permisos para varios usuarios, lo que puede facilitar la administración de los permisos para dichos usuarios. Por ejemplo, podría tener un grupo de usuarios denominado Admins (Administradores) y proporcionar a dicho grupo de los tipos de permisos que los administradores suelen necesitar. Cualquier usuario de ese grupo tiene automáticamente permisos del grupo Admins (Administradores). Si un nuevo usuario se une a su organización y necesita privilegios de administrador, puede asignar los permisos adecuados al agregar el usuario al grupo de usuarios Admins (Administradores). Si una persona cambia de trabajo en su organización, en lugar de editar los permisos de ese usuario puede eliminarlo de los antiguos grupos de IAM y agregarlo a los nuevos grupos de IAM correspondientes.

Puede asociar una política basada en identidad a un grupo de usuarios para que todos los usuarios del grupo reciban los permisos de la política. No puede identificar un grupo de usuarios como Principal en una política (como una política basada en recursos) porque los grupos están relacionados con los permisos, no con la autenticación, y las entidades principales son entidades de IAM autenticadas. Para obtener más información acerca de los tipos de políticas, consulte Políticas basadas en identidad y políticas basadas en recursos.

A continuación, algunas características importantes de los grupos de IAM:

Un grupo de usuarios puede incluir muchos usuarios y un usuario puede pertenecer a varios grupos de usuarios.
Los grupos de usuarios no pueden anidarse; solo pueden contener usuarios y no otros grupos de IAM.
No hay ningún grupo de usuarios predeterminado que incluya automáticamente todos los usuarios de la Cuenta de AWS. Si desea tener un grupo de usuarios de este tipo, debe crearlo y asignarle cada nuevo usuario.
El número y tamaño de recursos de IAM de un Cuenta de AWS, como el número de grupos y el número de grupos de los que un usuario puede ser miembro, son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

En el siguiente diagrama se muestra un ejemplo sencillo de un pequeño negocio. El propietario del negocio crea un grupo de usuarios Admins para que los usuarios creen otros usuarios y los administren a medida que crece el negocio. La Admins crea un grupo de usuarios Developers y un grupo de usuarios Test. Cada uno de estos grupos de IAM se compone de usuarios (personas y aplicaciones) que interactúan con AWS (Jim, Brad, DevApp1, etc.). Cada usuario tiene un conjunto individual de credenciales de seguridad. En este ejemplo, cada usuario pertenece a un solo grupo de usuarios. Sin embargo, los usuarios pueden pertenecer a varios grupos de IAM.

Ejemplo de relación entre Cuentas de AWS, usuarios y grupos de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de certificados de servidor

Creación de grupos de IAM