IAM 用户组 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 用户组

IAM 用户组是 IAM 用户的集合。利用用户组,可为多个用户指定权限,以便更轻松地管理这些用户的权限。例如,您可能有一个名为 Admins 的用户组,并向该用户组授予管理员通常需要的权限类型。该用户组中的所有用户均自动拥有 Admins 组权限。如果有新用户加入您的组织,并且需要管理员权限,则可通过将此用户添加到 Admins 用户组来分配相应的权限。如果组织中有成员更换岗位,则不必编辑该用户的权限,只需从旧 IAM 组中将此用户删除,然后将其添加到相应的新 IAM 组即可。

您可以将基于身份的策略附加到用户组,以便该用户组中的所有用户都能获得该策略的权限。您无法在策略(例如基于资源的策略)中将用户组标识为 Principal,因为组与权限相关,与身份验证无关,并且主体是经过身份验证的 IAM 实体。有关策略类型的更多信息,请参阅基于身份的策略和基于资源的策略

以下为 IAM 组具有的一些重要特点:

  • 一个用户组可包含多个用户,而一个用户又可归属于多个用户组。

  • 用户组不能嵌套;其中只能包含用户,而不能包含其他 IAM 组。

  • 默认情况下,没有可自动包含 Amazon Web Services 账户 内所有用户的用户组。如果希望有这样的用户组,则需要创建该组,然后将每个新用户分配给它。

  • Amazon Web Services 账户 中 IAM 资源的数量和大小(例如组的数量和用户可加入的组的数量)是有限的。有关更多信息,请参阅 IAM 和 Amazon STS 配额

下图以一家小型公司作为简单示例。随着公司的发展,公司所有者为用户创建了一个 Admins 用户组来创建和管理其他用户。Admins 用户组会创建一个 Developers 用户组和 Test 用户组。这两个 IAM 组都包含可与 Amazon 交互的用户(Jim、Brad、DevApp1 等)。每个用户均拥有一组单独的安全证书。在此示例中,每个用户均属于单一用户组。不过,用户可归属于多个 IAM 组。

Amazon Web Services 账户、用户和 IAM 组之间的关系示例