# Grupos de usuários do IAM
<a name="id_groups"></a>

Um [*grupo de usuários*](#id_groups) do IAM é um conjunto de usuários do IAM. Os grupos de usuários permitem especificar permissões para vários usuários, o que pode facilitar o gerenciamento das permissões para esses usuários. Por exemplo, você pode ter um grupo de usuários chamado *Admins* e dar a esse grupo de usuários as permissões normais dos administradores. Qualquer usuário desse grupo de usuários tem automaticamente permissões de grupo *Admins*. Se um novo usuário ingressar na organização e precisar de privilégios de administrador, você poderá atribuir as permissões apropriadas adicionando o usuário ao grupo de usuários *Admins*. Se alguém mudar de cargo na organização, em vez de editar as permissões desse usuário, você poderá remover a pessoa dos grupos do IAM antigos e adicioná-la aos novos grupos apropriados do IAM. 

Você pode anexar uma política baseada em identidade a um grupo de usuários para que todos os usuários do grupo de usuários recebem as permissões da política. Não é possível identificar um grupo de usuários como `Principal` em uma política (como uma política baseada em recursos) porque os grupos são relacionados com permissões, não autenticação, e as entidades principais são entidades autenticadas do IAM. Para obter mais informações sobre tipos de política, consulte [Políticas baseadas em identidade e em recurso](access_policies_identity-vs-resource.md).

Estas são algumas características importantes dos grupos do IAM:
+ Um grupo de usuários pode conter muitos usuários e um usuário pode pertencer a vários grupos de usuários.
+ Os grupos de usuários não podem ser aninhados e só podem conter usuários, não outros grupos do IAM.
+ Não existe um grupo de usuários padrão que inclua automaticamente todos os usuários da Conta da AWS. Se você deseja ter um grupo de usuários como este, deve criá-lo e atribuir cada novo usuário a ele.
+ O número e o tamanho dos recursos do IAM em uma Conta da AWS, como o número de grupos e o número de grupos dos quais um usuário pode ser membro, são limitados. Para ter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

O diagrama a seguir mostra um exemplo simples de uma pequena empresa. O proprietário da empresa cria um grupo de usuários `Admins` para que os usuários criem e gerenciem outros usuários à medida que a empresa cresce. O grupo de usuários `Admins` cria um grupo de usuários `Developers` e um grupo de usuários `Test`. Cada um desses grupos do IAM é composto de usuários (pessoas e aplicações) que interagem com a AWS (João, Brás, DevApp1, etc.). Cada usuário tem um conjunto individual de credenciais de segurança. Neste exemplo, cada usuário pertence a um único grupo de usuários. No entanto, os usuários podem pertencer a vários grupos do IAM.

![\[Exemplo de relacionamento entre Contas da AWS, usuários e grupos do IAM\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)


# Criar grupos do IAM
<a name="id_groups_create"></a>

**nota**  
Como [prática recomendada](best-practices.md), aconselhamos exigir que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias. Seguindo as práticas recomendadas, você não gerenciará usuários e grupos do IAM. Em vez disso, seus usuários e grupos serão gerenciados fora da AWS e podem acessar recursos da AWS como *identidade federada*. Identidade federada é um usuário de seu diretório de usuários corporativos, um provedor de identidades da Web, AWS Directory Service, o diretório do Centro de Identidade ou qualquer usuário que acesse os serviços da AWS usando credenciais fornecidas por meio de uma fonte de identidade. As identidades federadas utilizam os grupos definidos pelo provedor de identidade. Se você estiver usando o Centro de Identidade do AWS IAM, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) (Gerenciar identidades no Centro de Identidade do IAM) no *Guia do usuário do Centro de Identidade do AWS IAM* para obter informações sobre a criação de usuários e grupos no Centro de Identidade do IAM.

Os grupos do IAM são criados para ajudar gerenciar as permissões de acesso de vários usuários com perfis ou responsabilidades semelhantes. Ao anexar políticas a esses grupos, você pode conceder ou revogar permissões para conjuntos inteiros de usuários. Isso simplifica a manutenção das políticas de segurança, pois as alterações feitas nas permissões de um grupo são aplicadas automaticamente a todos os membros desse grupo, garantindo um controle de acesso consistente. Depois de criar o grupo, conceda permissões ao grupo com base no tipo de trabalho que você espera que os usuários do IAM no grupo façam e, em seguida, adicione os usuários do IAM ao grupo.

Para obter informações sobre as permissões necessárias para criar um grupo do IAM, consulte [Permissões necessárias para acessar recursos do IAM](access_permissions-required.md). 

## Para criar um grupo do IAM e anexar políticas
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usuários) e escolha **Create group** (Criar grupo).

1. Em **User group name** (Nome do grupo de usuários), digite o nome do grupo.
**nota**  
O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md). Os nomes dos grupos podem ser uma combinação de até 128 letras, dígitos e estes caracteres: mais (\$1), igual (=), vírgula (,), ponto (.), arroba (@), sublinhado (\$1) e hífen (-). Os nomes devem ser exclusivos dentro de uma conta. Não há diferenciação entre maiúsculas e minúsculas. Por exemplo, não é possível criar grupos chamados de **ADMINS** e **admins**.

1. Na lista de usuários, marque a caixa de seleção para cada usuário que você deseja adicionar ao grupo.

1. Na lista de políticas, marque a caixa de seleção para cada política que você deseja aplicar a todos os membros do grupo.

1. Escolha **Criar grupo**.

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

Chame a seguinte operação:
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------

# Visualizar grupos do IAM
<a name="id_groups_manage_list"></a>

Você pode listar todos os grupos do IAM de sua conta, listar os usuários de um grupo de usuários e listar os grupos do IAM aos quais um usuário pertence. Se você usar a CLI ou a API, poderá listar todos os grupos do IAM com um determinado prefixo de caminho.

------
#### [ Console ]

Para listar todos os grupos do IAM na sua conta:
+ No painel de navegação, selecione **Grupos de usuários**.

Para listar os usuários do IAM em um grupo do IAM específico:
+ No painel de navegação, selecione **User groups** (Grupos de usuários). Escolha o nome do grupo de destino para abrir a página de detalhes do grupo. Revise a guia **Usuários** para ver a associação a grupos.

Para listar todos os grupos do IAM aos quais um usuário pertence:
+ No painel de navegação, escolha **Users**. Em seguida, escolha o nome do usuário para abrir a página de detalhes do usuário. Escolha a guia **Grupos** para ver uma lista dos grupos aos quais o usuário pertence.

------
#### [ AWS CLI ]

Para listar todos os grupos do IAM na sua conta:
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)

Para listar os usuários em um grupo do IAM específico:
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)

Para listar todos os grupos do IAM aos quais um usuário pertence:
+ [aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)

------
#### [ API ]

Para listar todos os grupos do IAM na sua conta:
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)

Para listar os usuários em um grupo do IAM específico:
+ [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)

Para listar todos os grupos do IAM aos quais um usuário pertence:
+ [ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)

------

# Editar usuários em grupos do IAM
<a name="id_groups_manage_add-remove-users"></a>

Use os grupos do IAM para aplicar as mesmas políticas de permissões a vários usuários de uma só vez. É possível adicionar ou remover usuários de um grupo do IAM. Isso é útil à medida que pessoas entram e saem de sua organização.

## Revisar acesso à política
<a name="groups-remove_prerequisites"></a>

Antes de remover um grupo, use a página de detalhes do grupo para analisar os membros (usuários do IAM) do grupo, as políticas anexadas ao grupo na guia **Permissões** e revisar a atividade recente em nível de serviço usando a guia **Último acesso**. Isso ajuda a evitar a remoção não intencional do acesso de uma entidade principal (pessoa ou aplicação) que o esteja usando. Para obter mais informações sobre como visualizar as informações acessadas por último, consulte [Refinar permissões na AWS usando informações do último acesso](access_policies_last-accessed.md).

## Adicionar um usuário do IAM a um grupo do IAM
<a name="groups-add-remove-console"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usuários) e, em seguida, escolha o nome do grupo.

1. Escolha a guia **Users** (Usuários) e, em seguida, **Add users** (Adicionar usuários). Marque a caixa de seleção próxima dos usuários que você deseja adicionar.

1. Escolha **Add users** (Adicionar usuários).

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[AddUserToGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddUserToGroup.html)`

------

## Remover um usuário do IAM de um grupo do IAM
<a name="id_groups_manage_add-remove-users-section-1"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usuários) e, em seguida, escolha o nome do grupo.

1. Escolha a guia **Users**. Marque a caixa de seleção ao lado dos usuários que deseja remover e escolha **Remove users** (Remover usuários).

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)`

------

# Anexar uma política a um grupo de usuários do IAM
<a name="id_groups_manage_attach-policy"></a>

Você pode anexar uma [política gerenciada pela AWS](access_policies_managed-vs-inline.md#aws-managed-policies), ou seja, uma política pré-escrita fornecida pela AWS, a um grupo de usuários, conforme explicado nas etapas a seguir. Para anexar uma política gerenciada pelo cliente, ou seja, uma política com permissões personalizadas criada por você, crie a política primeiro. Para obter informações sobre a criação de políticas gerenciadas pelo cliente, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md). 

Para obter informações sobre permissões e políticas, consulte [Gerenciamento de acesso para recursos da AWS](access.md). 

## Para anexar uma política a um grupo do IAM
<a name="id_groups_manage_attach-policy-section-1"></a>

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **User groups** (Grupos de usuários) e, em seguida, escolha o nome do grupo.

1. Escolha a aba **Permissões**.

1. Escolha **Adicionar permissões** e depois **Anexar políticas**.

1. As políticas atuais anexadas ao grupo de usuários são exibidas na lista **Current permissions policies** (Políticas de permissões atuais). Na lista **Other permissions policies** (Outras políticas de permissões), marque a caixa de seleção ao lado dos nomes das políticas a serem anexadas. Você pode usar a caixa de pesquisa para filtrar a lista de políticas por tipo e nome de política.

1. Selecione a política que deseja anexar ao seu grupo do IAM e escolha **Anexar políticas**.

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ `[aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)`

------
#### [ API ]

Chame a seguinte operação:
+ `[AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)`

------

# Renomear um grupo de usuários do IAM
<a name="id_groups_manage_rename"></a>

Quando você altera o nome ou o caminho de um grupo de usuários, acontece o seguinte: 
+ Todas as políticas anexadas ao grupo de usuários permanecem com o grupo sob o novo nome.
+ O grupo de usuários retém todos os seus usuários com o novo nome.
+ O ID exclusivo do grupo de usuários permanece o mesmo. Para obter mais informações sobre IDs exclusivos, consulte [Identificadores exclusivos](reference_identifiers.md#identifiers-unique-ids). 

O IAM não atualiza automaticamente as políticas que se referem ao grupo de usuários como um recurso para usar o novo nome. Portanto, você deve ter cuidado ao renomear um grupo de usuários. Antes de renomear o grupo de usuários, você deve verificar manualmente todas as suas políticas para encontrar as políticas em que esse grupo de usuários é mencionado pelo nome. Por exemplo, digamos que Bob seja gerente da parte de testes da organização. Bob tem uma política anexada à entidade de usuário do IAM que permite a ele adicionar e remover usuários do grupo de usuários Teste. Se um administrador alterar o nome do grupo de usuários (ou mudar o caminho do grupo), ele também precisará atualizar a política anexada a Bob para usar o novo nome ou o novo caminho. Caso contrário, Bob não poderá adicionar e remover usuários do grupo de usuários. 

**Para encontrar as políticas que se referem a um grupo do IAM como um recurso:**

1. No painel de navegação do console do IAM, escolha **Policies** (Políticas).

1. Classifique pela coluna **Type** (Tipo) para encontrar suas políticas personalizadas **Customer managed** (Gerenciadas pelo cliente).

1. Escolha o nome da política a ser editada.

1. Escolha a guia **Permissions** e escolha **Resumo**.

1. Escolha **IAM** na lista de serviços, se houver esta opção.

1. Procure o nome do seu grupo de usuários na coluna **Resource** (Recurso).

1. Escolha **Editar** para alterar o nome do grupo de usuários na política.

## Para alterar o nome de um grupo de usuários do IAM
<a name="id_groups_manage_rename-section-1"></a>

------
#### [ Console ]

1. No painel de navegação, escolha **Grupos de usuários** e, em seguida, selecione o nome do grupo.

1. Escolha **Editar**. Digite o novo nome do grupo de usuários e escolha **Save changes** (Salvar alterações).

------
#### [ AWS CLI ]

Execute o seguinte comando:
+ [aws iam update-group](https://docs.aws.amazon.com/cli/latest/reference/iam/update-group.html)

------
#### [ API ]

Chame a seguinte operação:
+ [UpdateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateGroup.html)

------

# Excluir um grupo do IAM
<a name="id_groups_manage_delete"></a>

Quando um grupo do IAM é excluído no console, o console remove automaticamente todos os membros do grupo, desanexa todas as políticas gerenciadas e exclui todas as políticas em linha. Contudo, como o IAM não exclui automaticamente as políticas que se referem ao grupo do IAM como um recurso, você deve tomar cuidado ao excluir um grupo do IAM. Antes de excluir seu grupo do IAM, revise manualmente as suas políticas para encontrar quaisquer políticas que mencionem o grupo por nome. Por exemplo, João tem uma política anexada à sua entidade de usuário do IAM que permite que ele adicione e remova usuários do grupo de usuários Teste. Se um administrador excluir o grupo, ele também precisará excluir a política anexada a John. Caso contrário, se o administrador recriar o grupo excluído e dar a ele o mesmo nome, as permissões de João permanecerão em vigor, mesmo que ele tenha saído da Equipe de teste.

Por outro lado, ao usar a CLI, o SDK ou a API para excluir um grupo, primeiro é necessário remover os usuários do grupo. Exclua então todas as políticas em linha incorporadas no grupo do IAM. Em seguida, desanexe todas as políticas gerenciadas anexadas ao grupo. Agora exclua o grupo do IAM propriamente dito.

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **User groups** (Grupos de usuários).

1. Na lista de grupos do IAM, marque a caixa de seleção ao lado dos nomes dos grupos do IAM a serem excluídos. É possível usar a caixa de pesquisa para filtrar a lista de grupos do IAM por tipo, permissões e nome do grupo.

1. Escolha **Excluir**.

1. Na caixa de confirmação, para excluir um único grupo, digite o nome do grupo e escolha **Excluir**. Se você quiser excluir vários grupos, digite o número de grupos do IAM a serem excluídos, seguido por **user groups**, e escolha **Excluir**. Por exemplo, para excluir três grupos do IAM, digite **3 **user groups****.

------
#### [ AWS CLI ]

1. Remova todos os usuários do grupo do IAM.
   + [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) (para obter a lista de usuários no grupo do IAM) e [aws iam remover-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html) (para remover um usuário do grupo do IAM)

1. Exclua todas as políticas em linha incorporadas no grupo do IAM.
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html) (para obter uma lista de políticas em linha do grupo do IAM) e [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html) (para excluir as políticas em linha do grupo do IAM)

1. Desanexe todas as políticas gerenciadas anexadas ao grupo do IAM.
   + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html) (para obter uma lista das políticas gerenciadas anexados ao grupo do IAM) e [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) (para desanexar uma política gerenciada do grupo do IAM)

1. Exclua o grupo do IAM.
   + [aws iam delete-group](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group.html)

------
#### [ API ]

1. Remova todos os usuários do grupo do IAM.
   + [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html) (para obter a lista de usuários no grupo do IAM) e [RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) (para remover um usuário do grupo do IAM)

1. Exclua todas as políticas em linha incorporadas no grupo do IAM.
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html) (para obter uma lista de políticas em linha do grupo do IAM) e [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html) (para excluir as políticas em linha do grupo do IAM)

1. Desanexe todas as políticas gerenciadas anexadas ao grupo do IAM.
   + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html) (para obter uma lista das políticas gerenciadas anexados ao grupo do IAM) e [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html) (para desanexar uma política gerenciada do grupo do IAM)

1. Exclua o grupo do IAM.
   + [DeleteGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroup.html)

------