IAM-Benutzergruppen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Auswahl von IAM-Benutzern. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzern angeben, was die Verwaltung der Berechtigungen für diese Benutzer erleichtert. Zum Beispiel können Sie eine Gruppe mit dem Namen Administratoren erstellen und dieser Gruppe die für Administratoren üblichen Berechtigungen erteilen. Jeder Benutzer in der Gruppe verfügt automatisch über Admins-Gruppenberechtigungen. Wenn ein neuer Benutzer Ihrer Organisation beitritt und Administratorrechte benötigt, können die entsprechenden Berechtigungen zuweisen, indem Sie den Benutzer zur Admins-Benutzergruppe hinzufügen. Wenn eine Person in Ihrem Unternehmen die Stelle wechselt, können Sie, anstatt die Berechtigungen des Benutzers zu bearbeiten, ihn aus den alten IAM-Gruppen entfernen und ihn den entsprechenden neuen IAM-Gruppen hinzufügen.

Sie können eine identitätsbasierte Richtlinie an eine Benutzergruppe anfügen, so dass alle Benutzer in der Benutzergruppe die Berechtigungen der Richtlinie erhalten. Sie können eine Benutzergruppe nicht als Principal in einer Richtlinie (z. B. einer ressourcenbasierten Richtlinie) identifizieren, da sich Gruppen auf Berechtigungen und nicht auf die Authentifizierung beziehen, während Prinzipale authentifizierte IAM-Entitäten sind. Weitere Informationen zu Richtlinientypen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Im Folgenden finden Sie einige wichtige Merkmale von IAM-Gruppen:

  • Eine Gruppe kann viele Benutzer enthalten und ein Benutzer kann mehreren Gruppen angehören.

  • Benutzergruppen können nicht verschachtelt werden. Sie können nur Benutzer, nicht andere IAM-Gruppen enthalten.

  • Es gibt keine Standard-Benutzergruppe, die automatisch alle Benutzer im AWS-Konto-Konto enthält. Wenn Sie eine solche Gruppe haben möchten, müssen Sie sie erstellen und ihr jeden neuen Benutzer zuweisen.

  • Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto, z. B. die gesamte Anzahl der Gruppen und die Anzahl der Gruppen, in denen ein Benutzer Mitglied sein kann, sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente.

Die folgende Abbildung zeigt ein einfaches Beispiel für ein kleines Unternehmen. Der Unternehmenseigentümer erstellt eine Admins-Gruppe für Benutzer, um andere Benutzer zu erstellen und zu verwalten, während das Unternehmen wächst. Die Admins-Benutzergruppe erstellt eine Developers-Benutzergruppe und eine Test-Benutzergruppe. Jede dieser IAM-Gruppen besteht aus Benutzer (Personen und Anwendungen), die mit AWS interagieren (Jim, Brad, DevApp1 usw.). Jeder Benutzer verfügt über individuelle Anmeldeinformationen. In diesem Beispiel gehört jeder Benutzer zu einer einzelnen Gruppe. Benutzer können jedoch mehreren IAM-Gruppen angehören.

Beispiel für die Beziehung zwischen AWS-Konten, Benutzern und IAM-Gruppen