Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes d'utilisateurs IAM
Un groupe d'utilisateurs IAM est un ensemble d'utilisateurs IAM. Les groupes d'utilisateurs vous permettent de spécifier des autorisations pour plusieurs utilisateurs, ce qui permet de gérer plus facilement les autorisations pour ces utilisateurs. Par exemple, vous pouvez avoir un groupe d'utilisateurs appelé Admins et accorder à ce groupe d'utilisateurs des autorisations d'administrateur typiques. Tous les utilisateurs de ce groupe d'utilisateurs reçoivent automatiquement les autorisations de groupe Admins. Si un nouvel utilisateur rejoint votre organisation et a besoin de privilèges d'administrateur, vous pouvez lui attribuer les autorisations appropriées en l'ajoutant au groupe d'utilisateurs Admins. Si une personne change de poste dans votre organisation, au lieu de modifier les autorisations de cet utilisateur, vous pouvez retirer celui-ci de l’ancien groupe IAM et l’ajouter aux nouveaux groupes IAM appropriés.
Vous pouvez attacher une politique basée sur l'identité à un groupe d'utilisateurs afin que tous les utilisateurs de ce groupe reçoivent les autorisations de la politique. Vous ne pouvez pas identifier un groupe d'utilisateurs en tant que Principal dans une politique (telle qu'une politique basée sur les ressources) car les groupes se rapportent aux autorisations, et non à l'authentification, et les principaux sont des entités IAM authentifiées. Pour de plus amples informations sur les types de politiques, veuillez consulter Politiques basées sur l'identité et Politiques basées sur une ressource.
Voici quelques caractéristiques importantes des groupes IAM :
-
Un groupe d'utilisateurs peut contenir de nombreux utilisateurs et un utilisateur peut appartenir à plusieurs groupes d'utilisateurs.
-
Les groupes IAM ne peuvent pas être imbriqués ; ils ne peuvent contenir que des utilisateurs, pas d’autres groupes IAM.
-
Il n'existe pas de groupe d'utilisateurs par défaut qui inclut automatiquement tous les utilisateurs de l' Compte AWS. Si vous souhaitez disposer d'un groupe d'utilisateurs de ce type, vous devez le créer et lui affecter chaque nouvel utilisateur.
-
Le nombre et la taille des ressources IAM dans un Compte AWS, tels que le nombre de groupes et le nombre de groupes dont un utilisateur peut être membre, sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas.
Le schéma suivant illustre un exemple simple de petite entreprise. Le propriétaire de l'entreprise crée un groupe d'utilisateurs Admins pour que des utilisateurs créent et gèrent d'autres utilisateurs au fur et à mesure que l'entreprise se développe. Le groupe d'utilisateurs Admins crée un groupe d'utilisateurs Developers et un groupe d'utilisateurs Test. Chacun de ces groupes IAM est composé d'utilisateurs (humains et applications) qui interagissent avec AWS (Jim, Brad, DevApp 1, etc.). Chaque utilisateur dispose d'un ensemble individuel d'informations d'identification de sécurité. Dans cet exemple, chaque utilisateur appartient à un seul groupe d'utilisateurs. Cependant, les utilisateurs peuvent appartenir à plusieurs groupes IAM.
