本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
注意
最佳實務是,建議您要求人類使用者使用聯合身分提供者,以 AWS 使用臨時憑證存取 。如果遵循最佳實務,則您不用管理 IAM 使用者和群組。反之,您的使用者和群組是在 外部管理 AWS ,並且能夠以聯合身分的形式存取 AWS 資源。聯合身分是來自您的企業使用者目錄、Web 身分提供者、 AWS Directory Service、Identity Center 目錄,或是使用透過身分來源提供的憑證存取 AWS 服務的任何使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center,請參閱AWS IAM Identity Center 《 使用者指南》中的在 IAM Identity Center 中管理身分,以取得在 IAM Identity Center 中建立使用者和群組的相關資訊。
您可以建立 IAM 群組來管理具有類似角色或責任的多個使用者的存取許可。透過將政策連接到這些群組,您可以授予或撤銷整個使用者集的許可。這可簡化安全政策的維護,因為您對群組許可所做的變更會自動套用至該群組的所有成員,以確保一致的存取控制。建立群組之後,請根據您預期群組中的 IAM 使用者要執行的工作類型,提供群組許可,然後將 IAM 使用者新增至群組。
如需建立 IAM 群組所需許可的資訊,請參閱 存取 IAM 資源所需的許可。
建立 IAM 群組並連接政策
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中選擇 User groups (使用者群組),然後選擇 Create group (建立群組)。
-
針對 User group name (使用者群組名稱),請輸入群組名稱。
注意
AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊,請參閱IAM AWS STS 和配額。群組名稱可以是長達 128 個字母、數字以及這些字元的組合:加號 (+)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (_) 以及連字號 (-)。名稱在帳戶中必須是唯一的。它們不會依案例區分。例如,您無法建立名為
ADMINS和admins的群組。 -
在使用者清單中,針對您要新增到群組的每個使用者,選取其核取方塊。
-
在政策清單中,對於您要套用到群組所有成員的每個政策選取核取方塊。
-
選擇 Create group (建立群組)。
