本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM使用者群組
IAM使用者群組是使IAM用者的集合。使用者群組可讓您指定多個使用者的許可,從而可以更輕鬆地管理這些使用者的許可。例如,您可以擁有一個名為 Admins 的使用者群組,並為該使用者群組提供典型的管理員許可。該使用者群組中的任何使用者都自動擁有 Admins 群組許可。如果新使用者加入您的組織並需要管理員權限,您可以透過將使用者新增到 Admins 使用者群組來指派適當的許可。如果某人在您的組織中變更工作,而不是編輯該使用者的許可,您可以將他們從舊使用者群組中移除,並將他們新增到適當的新使用者群組中。
您可以將身分型政策連接至使用者群組,以便使用者群組中的所有使用者都會收到該政策的許可。您無法在策略Principal中將使用者群組識別為 (例如以資源為基礎的策略),因為群組與權限相關,而非驗證,而主參與者是經過IAM驗證的實體。如需有關政策類型的詳細資訊,請參閱 以身分為基礎和以資源為基礎的政策。
以下是使用者群組的一些重要特性:
-
使用者群組可以包含許多使用者,使用者可以屬於多個使用者群組。
-
使用者群組不能為巢狀;群組只能包含使用者,而不包含其他使用者群組。
-
沒有預設使用者群組自動包含 AWS 帳戶中的所有使用者。如果您想擁有這樣的使用者群組,您必須建立它並指派每個新使用者到該群組。
-
IAM資源的數量和大小 (例如群組數目以及使用者可以是其成員的群組數目) 是有限的。 AWS 帳戶如需詳細資訊,請參閱IAM和 AWS STS 配額。
下圖顯示一個小型公司的簡單範例。該公司擁有者為使用者建立 Admins 使用者群組,以便隨著公司的成長建立和管理其他使用者。所以此 Admins 使用者群組會建立 Developers 使用者群組和 Test 使用者群組。這些使用者群組都包含與 (Jim、Brad、 DevApp 1 等) 互動的使用者 AWS (人類和應用程式)。每個使用者都有一組個別的安全憑證。在這個範例中,每個使用者均屬於單一使用者群組。不過,使用者可屬於多個使用者群組。
