本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 使用者群組
<a name="id_groups"></a>

IAM [*使用者群組*](#id_groups)是 IAM 使用者的集合。使用者群組可讓您指定多個使用者的許可，從而可以更輕鬆地管理這些使用者的許可。例如，您可以擁有一個名為 *Admins* 的使用者群組，並為該使用者群組提供典型的管理員許可。該使用者群組中的任何使用者都自動擁有 *Admins* 群組許可。如果新使用者加入您的組織並需要管理員權限，您可以透過將使用者新增到 *Admins* 使用者群組來指派適當的許可。如果某人在您的組織中變更工作，而不是編輯該使用者的許可，您可以將他們從舊 IAM 群組中移除，並將他們新增到適當的新 IAM 群組中。

您可以將身分型政策連接至使用者群組，以便使用者群組中的所有使用者都會收到該政策的許可。您無法將使用者群組識別為政策 (例如資源型政策) 中的 `Principal`，因為群組與許可 (而非驗證) 相關，並且主體是經過驗證的 IAM 實體。如需有關政策類型的詳細資訊，請參閱 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md)。

以下是 IAM 群組的一些重要特性：
+ 使用者群組可以包含許多使用者，使用者可以屬於多個使用者群組。
+ 使用者群組不能為巢狀；群組只能包含使用者，而不包含其他 IAM 群組。
+ 沒有預設使用者群組自動包含 AWS 帳戶中的所有使用者。如果您想擁有這樣的使用者群組，您必須建立它並指派每個新使用者到該群組。
+ 中的 IAM 資源數量和大小會受到限制 AWS 帳戶，例如群組數量，以及使用者可以成為成員的群組數量。如需詳細資訊，請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。

下圖顯示一個小型公司的簡單範例。該公司擁有者為使用者建立 `Admins` 使用者群組，以便隨著公司的成長建立和管理其他使用者。所以此 `Admins` 使用者群組會建立 `Developers` 使用者群組和 `Test` 使用者群組。這些 IAM 群組都包含與 (Jim、Brad、DevApp1 等） 互動的使用者 AWS （人類和應用程式）。每個使用者都有一組個別的安全憑證。在這個範例中，每個使用者均屬於單一使用者群組。不過，使用者可屬於多個 IAM 群組。

![\[AWS 帳戶、使用者和 IAM 群組之間的關係範例\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)


# 建立 IAM 群組
<a name="id_groups_create"></a>

**注意**  
[最佳實務](best-practices.md)是，建議您要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取 。如果遵循最佳實務，則您不用管理 IAM 使用者和群組。反之，您的使用者和群組是在 外部管理 AWS ，並且能夠以*聯合身分*的形式存取 AWS 資源。聯合身分是來自您的企業使用者目錄、Web 身分提供者、 AWS Directory Service、Identity Center 目錄或任何使用透過身分來源提供的登入資料存取 AWS 服務的使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center，請參閱*AWS IAM Identity Center *[《 使用者指南》中的在 IAM Identity Center 中管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)身分，以取得在 IAM Identity Center 中建立使用者和群組的相關資訊。

您可以建立 IAM 群組來管理具有類似角色或責任的多個使用者的存取許可。透過將政策連接至這些群組，可以授予或撤銷整組使用者的許可。您對群組許可所做的變更會自動套用至該群組的所有成員，確保存取控制保持一致，因此可以簡化安全政策的維護。建立群組之後，請根據您期望群組中 IAM 使用者要執行的工作類型向群組授予許可，然後將 IAM 使用者新增至群組。

如需有關建立 IAM 群組所需許可的資訊，請參閱[存取 IAM 資源所需的許可](access_permissions-required.md)。

## 建立 IAM 群組和連接政策
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中選擇 **User groups** (使用者群組)，然後選擇 **Create group** (建立群組)。

1. 針對 **User group name** (使用者群組名稱)，請輸入群組名稱。
**注意**  
 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊，請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。群組名稱可以是長達 128 個字母、數字以及這些字元的組合：加號 (\$1)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (\$1) 以及連字號 (-)。名稱在帳戶中必須是唯一的。群組名稱無法透過大小寫進行區分。例如，您無法建立名為 **ADMINS** 和 **admins** 的群組。

1. 在使用者清單中，針對您要新增到群組的每個使用者，選取其核取方塊。

1. 在政策清單中，對於您要套用到群組所有成員的每個政策選取核取方塊。

1. 選擇 **Create group (建立群組)**。

------
#### [ AWS CLI ]

執行以下命令：
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

呼叫以下操作：
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------

# 檢視 IAM 群組
<a name="id_groups_manage_list"></a>

您可以列出帳戶中的所有 IAM 群組，列出使用者群組中的使用者，以及列出使用者所屬的 IAM 群組。如果您使用的是 CLI 或 API，您可以列出所有具有特定路徑字首的 IAM 群組。

------
#### [ Console ]

若要列出帳戶中的所有 IAM 群組，請執行下列動作：
+ 在導覽窗格中，選擇**使用者群組**。

若要列出特定 IAM 群組中的 IAM 使用者，請執行下列動作：
+ 在導覽窗格中，選擇 **User groups** (使用者群組)。然後選擇群組的名稱以開啟群組詳細資訊頁面。檢閱**使用者**索引標籤以查看群組成員資格。

若要列出使用者所在的 IAM 群組，請執行下列動作：
+ 在導覽窗格中，選擇**使用者** 。然後選擇使用者名稱以開啟使用者詳細資訊頁面。選擇**群組**索引標籤，以查看使用者所屬的群組清單。

------
#### [ AWS CLI ]

若要列出帳戶中的所有 IAM 群組，請執行下列動作：
+ [aws iam list-groups](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups.html)

若要列出特定 IAM 群組中的使用者，請執行下列動作：
+ [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)

若要列出使用者所在的 IAM 群組，請執行下列動作：
+ [aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)

------
#### [ API ]

若要列出帳戶中的所有 IAM 群組，請執行下列動作：
+ [ListGroups](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroups.html)

若要列出特定 IAM 群組中的使用者，請執行下列動作：
+ [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)

若要列出使用者所在的 IAM 群組，請執行下列動作：
+ [ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)

------

# 編輯 IAM 群組中的使用者
<a name="id_groups_manage_add-remove-users"></a>

使用 IAM 群組來將相同許可一次套用到多個使用者。然後可以從 IAM 群組新增或移除使用者。這在有人員加入和離開您的組織時很實用

## 檢閱政策存取
<a name="groups-remove_prerequisites"></a>

在移除群組之前，請使用群組詳細資訊頁面來檢閱群組的成員 (IAM 使用者)，在**許可**索引標籤上檢閱連接至群組的政策，以及使用**上次存取**索引標籤檢閱最近的服務層級活動。這有助於防止無意中從正在使用它的主體 (人員或應用程式) 中移除存取權。如需有關檢視上次存取的資訊的詳細資訊，請參閱 [AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。

## 將 IAM 使用者新增至 IAM 群組
<a name="groups-add-remove-console"></a>

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **User groups** (使用者群組)，然後選擇群組的名稱。

1. 選擇 **Users** (使用者) 索引標籤，然後選擇 **Add Users** (新增使用者)。選取要新增之使用者旁的核取方塊。

1. 選擇 **Add users** (新增使用者)。

------
#### [ AWS CLI ]

執行以下命令：
+ `[aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)`

------
#### [ API ]

呼叫以下操作：
+ `[AddUserToGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddUserToGroup.html)`

------

## 從 IAM 群組中移除 IAM 使用者
<a name="id_groups_manage_add-remove-users-section-1"></a>

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **User groups** (使用者群組)，然後選擇群組的名稱。

1. 選擇 **Users** (使用者) 索引標籤。選取要移除之使用者旁的核取方塊，然後選擇 **Remove users** (移除使用者)。

------
#### [ AWS CLI ]

執行以下命令：
+ `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`

------
#### [ API ]

呼叫以下操作：
+ `[RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html)`

------

# 將政策連接至 IAM 使用者群組
<a name="id_groups_manage_attach-policy"></a>

您可以將 [AWS 提供的預先撰寫政策 受管政策](access_policies_managed-vs-inline.md#aws-managed-policies)連接至 AWS使用者群組，如下列步驟所述。若要連接客戶受管政策 ，即具有您建立的自訂許可的政策，必須先建立政策。如需建立客戶受管政策的詳細資訊，請參閱 [使用客戶管理政策定義自訂 IAM 許可](access_policies_create.md)。

如需有關許可和政策的詳細資訊，請參閱 [AWS 資源的存取管理](access.md)。

## 將政策連接至 IAM 群組
<a name="id_groups_manage_attach-policy-section-1"></a>

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **User groups** (使用者群組)，然後選擇群組的名稱。

1. 選擇 **Permissions (許可)** 標籤。

1. 選擇**新增許可**，然後選擇**連接政策**。

1. 連接至使用者群組的目前政策會顯示在**目前的許可政策**清單。在 **Other permissions policies** (其他許可政策) 清單中，選取要連接的政策名稱旁的核取方塊。您可以使用搜尋方塊來依類型和政策名稱篩選政策清單。

1. 選取要連接至 IAM 群組的政策，然後選擇**連接政策**。

------
#### [ AWS CLI ]

執行以下命令：
+ `[aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)`

------
#### [ API ]

呼叫以下操作：
+ `[AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)`

------

# 重新命名 IAM 使用者群組
<a name="id_groups_manage_rename"></a>

當您更改使用者群組名稱或路徑時，會發生以下情況：
+ 連接到使用者群組的所有政策繼續採用新名稱。
+ 使用者群組保留新名稱下的所有使用者。
+ 使用者群組的唯一 ID 保持不變。如需有關唯一 ID 的詳細資訊，請參閱 [唯一識別碼](reference_identifiers.md#identifiers-unique-ids)。

IAM 不會自動更新將該使用者群組視為資源以使用新名稱的政策。因此，當您重新命名使用者群組時，請務必謹慎。在重新命名使用者群組之前，必須手動檢查所有政策，以尋找按名稱提及該使用者群組的任何政策。例如，假設 Bob 是組織測試部分的經理。Bob 擁有政策連接到他的 IAM 使用者實體，可讓他從測試使用者群組中新增和移除使用者。如果管理員更改使用者群組的名稱 (或更改群組的路徑)，則管理員還需更新連接到 Bob 的政策以使用新名稱或新路徑。否則，Bob 將無法在該使用者群組中新增或移除使用者。

**若要尋找將 IAM 群組作為資源來引用的政策，請執行下列動作：**

1. 從 IAM 主控台的導覽窗格中，選擇 **Policies** (政策)。

1. 以 **Type** (類型) 資料欄排序，尋找 **Customer managed** (客戶受管) 自訂政策。

1. 選擇要編輯的政策的政策名稱。

1. 選擇**許可**索引標籤，然後選擇**摘要**。

1. 從服務清單中選擇 **IAM**，如果存在。

1. 在 **Resource** (資源) 欄位中尋找使用者群組的名稱。

1. 選擇**編輯**，可在政策中變更您的使用者群組名稱。

## 變更 IAM 使用者群組名稱
<a name="id_groups_manage_rename-section-1"></a>

------
#### [ Console ]

1. 在導覽窗格中，選取**使用者群組**，然後選取群組名稱。

1. 選擇 **Edit (編輯)**。輸入新的使用者群組名稱，然後選擇 **Save changes** (儲存變更)。

------
#### [ AWS CLI ]

執行以下命令：
+ [aws iam update-group](https://docs.aws.amazon.com/cli/latest/reference/iam/update-group.html)

------
#### [ API ]

呼叫以下操作：
+ [UpdateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateGroup.html)

------

# 刪除 IAM 群組
<a name="id_groups_manage_delete"></a>

當您在主控台中刪除某個 IAM 群組時，主控台會自動移除所有群組成員、分離所有連接的受管政策，並刪除所有內嵌政策。不過，由於 IAM 不會自動刪除將 IAM 群組作為資源來引用的政策，因此刪除 IAM 群組時必須小心。在刪除 IAM 群組之前，請手動檢閱政策，尋找依名稱提及該群組的政策。例如，測試團隊管理員 John 擁有與其 IAM 使用者實體相連的政策，可讓他從測試使用者群組中新增和移除使用者。如果管理員刪除該群組，則管理員還必須刪除連接到 John 的政策。否則，如果管理員重新建立已刪除的群組，並為其指定相同的名稱，則 John 的許可將保持不變，即使他已離開測試團隊。

相反，在使用 CLI、SDK 或 API 刪除群組時，需先移除群組中的使用者。然後刪除嵌入在 IAM 群組中的所有內嵌政策。接下來，分離連接至該群組的所有受管政策。然後刪除該 IAM 群組本身。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **User groups** (使用者群組)。

1. 在 IAM 群組清單中，選取要刪除的 IAM 群組名稱旁的核取方塊。您可以使用搜尋方塊，依類型、許可和群組名稱來篩選 IAM 群組清單。

1. 選擇 **刪除**。

1. 在確認方塊中，如果要刪除單一群組，請輸入群組名稱，然後選擇**刪除**。如果要刪除多個群組，請輸入要刪除的 IAM 群組數量，後接 **user groups**，然後選擇**刪除**。例如，如果要刪除三個群組，則輸入 **3 **user groups****。

------
#### [ AWS CLI ]

1. 從 IAM 群組中移除所有使用者。
   + [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) (取得 IAM 群組中的使用者清單) 和 [aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html) (從 IAM 群組中移除使用者)

1. 刪除嵌入在 IAM 群組中的所有內嵌政策。
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html) (取得 IAM 群組內嵌政策的清單) 和 [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html) (刪除 IAM 群組的內嵌政策)

1. 分離連接至 IAM 群組的所有受管政策。
   + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html) (取得連接至 IAM 群組的受管政策清單) 和 [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html) (從 IAM 群組中分離受管政策)

1. 刪除 IAM 群組。
   + [aws iam delete-group](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group.html)

------
#### [ API ]

1. 從 IAM 群組中移除所有使用者。
   + [GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html) (取得 IAM 群組中的使用者清單) 和 [RemoveUserFromGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) (從 IAM 群組中移除使用者)

1. 刪除嵌入在 IAM 群組中的所有內嵌政策。
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html) (取得 IAM 群組內嵌政策的清單) 和 [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html) (刪除 IAM 群組的內嵌政策)

1. 分離連接至 IAM 群組的所有受管政策。
   + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html) (取得連接至 IAM 群組的受管政策清單) 和 [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html) (從 IAM 群組中分離受管政策)

1. 刪除 IAM 群組。
   + [DeleteGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroup.html)

------