IAM グループを作成する
注記
ベストプラクティスとして、一時的な認証情報の使用により AWS にアクセスするには、人間のユーザーに対して ID プロバイダーとのフェデレーションの使用を必須とすることをお勧めします。ベストプラクティスに従えば、IAM ユーザーやグループを管理することにはなりません。管理するのではなく、ユーザーとグループは AWS の外部で管理され、フェデレーション ID として AWS リソースにアクセスできます。フェデレーション ID は、エンタープライズユーザーディレクトリ、ウェブ ID プロバイダー、AWS Directory Service、Identity Center ディレクトリのユーザー、または ID ソースから提供された認証情報を使用して AWS のサービスにアクセスするユーザーです。フェデレーション ID は、ID プロバイダーが定義したグループを使用します。AWS IAM Identity Center を使用している場合は、IAM Identity Center でのユーザーとグループの作成に関する情報について、AWS IAM Identity Center ユーザーガイドの「Manage identities in IAM Identity Center」(IAM Identity Center での ID の管理) を参照してください。
IAM グループを作成して、類似するロールまたは責任を持つ複数のユーザーのアクセス許可を管理します。これらのグループにポリシーをアタッチすることで、ユーザーのグループ全体に対するアクセス許可を付与または取り消すことができます。これにより、グループのアクセス許可に加えた変更がそのグループのすべてのメンバーに自動的に適用されるため、セキュリティポリシーのメンテナンスが簡素化され、一貫したアクセス制御が可能になります。グループを作成後、グループ内の IAM ユーザーに期待される作業のタイプに基づいてグループアクセス許可を付与し、IAM ユーザーをグループに追加します。
IAM グループ作成に必要なアクセス許可については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。