注意
作为最佳实践,我们建议您要求人类用户使用带有身份提供程序的联合身份验证才能使用临时凭证访问 AWS。如果您遵循最佳实践,则无法管理 IAM 用户和组。相反,您的用户和组是在 AWS 外部进行管理的,并且能够以联合身份访问 AWS 资源。联合身份是来自企业用户目录、Web 身份提供程序、AWS Identity Service 的用户,或任何使用通过身份源提供的凭证来访问 AWS 服务的用户。联合身份使用其身份提供商定义的组。如果您使用的是 AWS IAM Identity Center,请参阅《AWS IAM Identity Center 用户指南》中的管理 IAM Identity Center 中的身份,了解有关在 IAM Identity Center 中创建用户和组的信息。
您可以创建 IAM 组,以管理具有相似角色或职责的多个用户的访问权限。您可以通过将策略附加到这些组来授予或撤消整组用户的权限。您对组的权限所做的更改将自动应用于该组的所有成员,以确保一致的访问控制,因此这简化了您对安全策略的维护。创建组后,根据您希望组中的 IAM 用户执行的工作类型向组授予权限,然后将 IAM 用户添加到该组。
有关创建 IAM 组所需权限的信息,请参阅访问 IAM 资源所需的权限。
创建 IAM 组并附加策略
登录 AWS Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 User groups(用户组),然后选择 Create group(创建组)。
-
对于 User group name(用户组名称),键入组的名称。
注意
AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息,请参阅 IAM 和 AWS STS 配额。组名称可以是一个最多由 128 个字母、数字和以下字符构成的组合:加号 (+)、等号 (=)、逗号 (,)、句点 (.)、at 符号 (@)、下划线 (_) 和连字符 (-)。账户中的名称必须唯一。名称不区分大小写。例如,您无法同时创建名为
ADMINS和admins的组。 -
在用户列表中,选中要添加到组中的每个用户对应的复选框。
-
在策略列表中,选中要应用于组中的所有成员的每个策略的复选框。
-
选择创建群组。
