本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 IAM 群組
<a name="id_groups_create"></a>

**注意**  
[最佳實務](best-practices.md)是，建議您要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取 。如果遵循最佳實務，則您不用管理 IAM 使用者和群組。反之，您的使用者和群組是在 外部管理 AWS ，並且能夠以*聯合身分*的形式存取 AWS 資源。聯合身分是來自您的企業使用者目錄、Web 身分提供者、 AWS Directory Service、Identity Center 目錄或任何使用透過身分來源提供的登入資料存取 AWS 服務的使用者。聯合身分使用由其身分提供者定義的群組。如果您使用的是 AWS IAM Identity Center，請參閱*AWS IAM Identity Center *[《 使用者指南》中的在 IAM Identity Center 中管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)身分，以取得在 IAM Identity Center 中建立使用者和群組的相關資訊。

您可以建立 IAM 群組來管理具有類似角色或責任的多個使用者的存取許可。透過將政策連接至這些群組，可以授予或撤銷整組使用者的許可。您對群組許可所做的變更會自動套用至該群組的所有成員，確保存取控制保持一致，因此可以簡化安全政策的維護。建立群組之後，請根據您期望群組中 IAM 使用者要執行的工作類型向群組授予許可，然後將 IAM 使用者新增至群組。

如需有關建立 IAM 群組所需許可的資訊，請參閱[存取 IAM 資源所需的許可](access_permissions-required.md)。

## 建立 IAM 群組和連接政策
<a name="id_groups_create-section-1"></a>

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中選擇 **User groups** (使用者群組)，然後選擇 **Create group** (建立群組)。

1. 針對 **User group name** (使用者群組名稱)，請輸入群組名稱。
**注意**  
 AWS 帳戶中 IAM 資源的數量和大小有限。如需詳細資訊，請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。群組名稱可以是長達 128 個字母、數字以及這些字元的組合：加號 (\$1)、等號 (=)、逗號 (,)、句號 (.)、@ 符號、底線 (\$1) 以及連字號 (-)。名稱在帳戶中必須是唯一的。群組名稱無法透過大小寫進行區分。例如，您無法建立名為 **ADMINS** 和 **admins** 的群組。

1. 在使用者清單中，針對您要新增到群組的每個使用者，選取其核取方塊。

1. 在政策清單中，對於您要套用到群組所有成員的每個政策選取核取方塊。

1. 選擇 **Create group (建立群組)**。

------
#### [ AWS CLI ]

執行以下命令：
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)

------
#### [ API ]

呼叫以下操作：
+ [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

------