创建 IAM 用户组
作为最佳实践,我们建议您要求人类用户使用带有身份提供程序的联合身份验证才能使用临时凭证访问 Amazon。如果您遵循最佳实践,则无法管理 IAM 用户和组。相反,您的用户和组是在 Amazon 外部进行管理的,并且能够以联合身份访问 Amazon 资源。联合身份是来自企业用户目录、Web 身份提供程序、Amazon Identity Service 的用户,或任何使用通过身份源提供的凭证来访问 Amazon 服务的用户。联合身份使用其身份提供商定义的组。如果您使用的是 Amazon IAM Identity Center (successor to Amazon Single Sign-On),请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南》中的管理 IAM Identity Center 中的身份,了解有关在 IAM Identity Center 中创建用户和组的信息。
要设置用户组,您需要先创建组。然后根据您希望组中用户执行的工作类型向组授予权限。最后,将用户添加到组中。
有关创建用户组时需要的权限的信息,请参阅 访问 IAM 资源所需的权限。
创建 IAM 用户组并附加策略(控制台)
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 User groups(用户组),然后选择 Create group(创建组)。
-
对于 User group name(用户组名称),键入组的名称。
注意 Amazon 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅IAM 与 Amazon STS 配额、名称要求和字符限制。组名称可以是一个最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您无法同时创建名为
ADMINS和admins的组。 -
在用户列表中,选中要添加到组中的每个用户对应的复选框。
-
在策略列表中,选中要应用于组中的所有成员的每个策略的复选框。
-
选择创建组。
要创建 IAM 用户组(Amazon CLI 或者 Amazon API)
使用以下值之一:
-
Amazon CLI:aws iam create-group
-
Amazon API:CreateGroup