AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

IAM 组

IAM 组是 IAM 用户的集合。利用组,可为多个用户指定权限,以便更轻松地管理这些用户的权限。例如,您可能有一个名为 Admins 的组,并向该组授予管理员通常需要的权限类型。该组中的任何用户均自动具有分配给该组的权限。如果有新用户加入您的组织,并且需要管理员权限,则可通过将此用户添加到组来分配相应的权限。同样,如果您的组织中有人更换工作,则不必编辑该用户的权限,只需从旧组中将其删除,然后将其添加到合适的新组即可。

请注意,组在 IAM 中并不是真正的“身份”,因为无法在权限策略中将其标识为 Principal。它只是用于一次性将策略附加到多个用户的方法。

以下为群组具有的一些重要特点:

  • 一个群组可包含多个用户,而一个用户又可归属于多个群组。

  • 组不能嵌套;其中只能包含用户,而不能包含其他组。

  • 默认情况下,没有可自动包含 AWS 账户内所有用户的组。如果希望有这样的组,则需要创建该组,然后将每个新用户分配给它。

  • 您拥有的群组数量和群组内包含的用户数量均有限制。有关更多信息,请参阅 IAM 实体和对象的限制

下图以一家小型公司作为简单示例。随着公司的发展,公司所有者为用户创建了一个 Admins 组来创建和管理其他用户。Admins 组创建了一个 Developers 组和一个 Test 组。这两个组都包含可与 AWS 交互的用户 (人员和应用程序) (Jim、Brad、DevApp1 等)。每个用户均拥有一组单独的安全凭证。在此示例中,每个用户均属于单一群组。不过,用户可归属于多个群组。

 AWS 账户、用户和组之间的关系示例