# IAM 用户组 IAM [*用户组*](#id_groups)是 IAM 用户的集合。利用用户组,可为多个用户指定权限,以便更轻松地管理这些用户的权限。例如,您可能有一个名为 *Admins* 的用户组,并向该用户组授予管理员通常需要的权限类型。该用户组中的所有用户均自动拥有 *Admins* 组权限。如果有新用户加入您的组织,并且需要管理员权限,则可通过将此用户添加到 *Admins* 用户组来分配相应的权限。如果组织中有成员更换岗位,则不必编辑该用户的权限,只需从旧 IAM 组中将此用户删除,然后将其添加到相应的新 IAM 组即可。 您可以将基于身份的策略附加到用户组,以便该用户组中的所有用户都能获得该策略的权限。您无法在策略(例如基于资源的策略)中将用户组标识为 `Principal`,因为组与权限相关,与身份验证无关,并且主体是经过身份验证的 IAM 实体。有关策略类型的更多信息,请参阅[基于身份的策略和基于资源的策略](access_policies_identity-vs-resource.md)。 以下为 IAM 组具有的一些重要特点: + 一个用户组可包含多个用户,而一个用户又可归属于多个用户组。 + 用户组不能嵌套;其中只能包含用户,而不能包含其他 IAM 组。 + 默认情况下,没有可自动包含 Amazon Web Services 账户 内所有用户的用户组。如果希望有这样的用户组,则需要创建该组,然后将每个新用户分配给它。 + Amazon Web Services 账户 中 IAM 资源的数量和大小(例如组的数量和用户可加入的组的数量)是有限的。有关更多信息,请参阅 [IAM 和 Amazon STS 配额](reference_iam-quotas.md)。 下图以一家小型公司作为简单示例。随着公司的发展,公司所有者为用户创建了一个 `Admins` 用户组来创建和管理其他用户。`Admins` 用户组会创建一个 `Developers` 用户组和 `Test` 用户组。这两个 IAM 组都包含可与 Amazon 交互的用户(Jim、Brad、DevApp1 等)。每个用户均拥有一组单独的安全证书。在此示例中,每个用户均属于单一用户组。不过,用户可归属于多个 IAM 组。 ![\[Amazon Web Services 账户、用户和 IAM 组之间的关系示例\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)