IAM 사용자 그룹은 IAM 사용자의 집합입니다. 사용자 그룹을 활용하면 다수의 사용자들에 대한 권한을 지정함으로써 해당 사용자들에 대한 권한을 더 쉽게 관리할 수 있습니다. 예를 들어, Admins라는 사용자 그룹이 있고 해당 사용자 그룹에 일반 관리자 권한을 부여할 수 있습니다. 해당 사용자 그룹의 모든 사용자는 자동으로 Admins 그룹 권한을 갖습니다. 관리자 권한을 필요로 하는 새로운 사용자가 조직에 들어올 경우 해당 사용자를 Admins 사용자 그룹에 추가하여 적절한 권한을 할당할 수 있습니다. 조직에서 직원의 업무가 바뀌면 해당 사용자의 권한을 편집하는 대신 이전 IAM 그룹에서 해당 사용자를 제거한 후 적절한 새 IAM 그룹에 추가하면 됩니다.
사용자 그룹의 모든 사용자가 정책의 권한을 받도록 아이덴티티 기반 정책을 사용자 그룹에 연결할 수 있습니다. 그룹은 인증이 아니라 권한과 관련이 있고 보안 주체는 인증된 IAM 엔터티이기 때문에 정책(예: 리소스 기반 정책)에서 사용자 그룹을 Principal로 식별할 수 없습니다. 정책 유형에 대한 자세한 정보는 자격 증명 기반 정책 및 리소스 기반 정책 섹션을 참조하세요.
다음은 IAM 그룹이 갖는 몇 가지 중요한 특징입니다.
-
한 사용자 그룹에 여러 사용자가 포함될 수 있으며 한 사용자가 다중 사용자 그룹에 속할 수 있습니다.
-
사용자 그룹은 중첩될 수 없습니다. 즉, IAM 그룹은 사용자만 포함할 수 있으며 다른 그룹은 포함할 수 없습니다.
-
AWS 계정의 모든 사용자를 자동으로 포함하는 기본 사용자 그룹은 없습니다. 이러한 사용자 그룹이 필요한 경우 하나 만들어 새로운 사용자를 각각 해당 그룹에 할당해야 합니다.
-
그룹 수, 사용자가 멤버가 될 수 있는 그룹 수와 같이 AWS 계정에 있는 IAM 리소스의 수와 크기는 제한되어 있습니다. 자세한 내용은 IAM 및 AWS STS 할당량 단원을 참조하십시오.
다음 다이어그램에서는 어느 작은 회사의 간단한 예제를 보여줍니다. 회사 소유주는 Admins 사용자 그룹을 생성해 회사가 성장함에 따라 사용자들이 다른 사용자들을 생성하고 관리하도록 합니다. Admins 사용자 그룹은 Developers 사용자 그룹 및 Test 사용자 그룹을 생성합니다. 이러한 IAM 그룹은 각각 AWS와 상호 작용하는 사용자(사람 및 애플리케이션: Jim, Brad, DevApp1 등)들로 구성됩니다. 사용자마다 개별적인 보안 자격 증명 세트가 있습니다. 이 예제에서는 각 사용자가 단일 사용자 그룹에 속합니다. 하지만 사용자는 여러 IAM 그룹에 속할 수 있습니다.
