Gruppi di utenti IAM - AWS Identity and Access Management

Gruppi di utenti IAM

Un gruppo di utenti IAM è una raccolta di utenti IAM. I gruppi di utenti consentono di specificare le autorizzazioni per più utenti e quindi la gestione delle autorizzazioni per quegli utenti può essere più facile. Ad esempio, potresti avere un gruppo di utenti chiamato Amministratori e concedere a tale gruppo di utenti le autorizzazioni tipiche degli amministratori. Qualsiasi utente all'interno di tale gruppo dispone automaticamente delle autorizzazioni del gruppo Amministratori. Se un nuovo utente entra a far parte dell'organizzazione e necessita dei privilegi di amministratore, puoi concedere le autorizzazioni appropriate aggiungendo l'utente al gruppo di utenti Amministratori. Se una persona cambia mansione all'interno dell'organizzazione, invece di modificare le autorizzazioni dell'utente puoi rimuoverlo dai vecchi gruppi IAM e aggiungerlo a nuovi gruppi IAM appropriati.

Puoi collegare una policy basata sull'identità a un gruppo di utenti in modo che tutti gli utenti del gruppo ricevano le autorizzazioni della policy. Non è possibile identificare un gruppo di utenti come Principal in una policy (ad esempio una policy basata sulle risorse) perché i gruppi si riferiscono alle autorizzazioni, non all'autenticazione, e i principali sono entità IAM autenticate. Per ulteriori informazioni sui tipi di policy, consulta Policy basate sulle identità e policy basate su risorse.

Queste sono alcune delle funzionalità importanti dei gruppi IAM:

  • Un gruppo di utenti può contenere molti utenti e un utente può appartenere a più gruppi di utenti.

  • I gruppi di utenti non possono essere nidificati; possono contenere solo utenti, non altri gruppi IAM.

  • Non esiste alcun gruppo di utenti predefinito che include automaticamente tutti gli utenti nell'Account AWS. Se desideri disporre di un gruppo di utenti di questo tipo, è necessario crearlo e assegnarvi ogni nuovo utente.

  • Il numero e la dimensione delle risorse IAM in un Account AWS, ad esempio il numero di gruppi e il numero di gruppi di cui un utente può essere membro, sono limitati. Per ulteriori informazioni, consulta Quote di IAM e AWS STS.

Il diagramma seguente mostra un semplice esempio di una piccola azienda. Il proprietario dell'azienda crea un gruppo di utenti Admins perché gli utenti possano creare e gestire altri utenti mentre l'azienda cresce. Il gruppo di utenti Admins crea un gruppo di utenti Developerse un gruppo di utenti Test. Ogni di questi gruppi IAM è costituito da utenti (persone e applicazioni) che interagiscono con AWS (Jim, Brad, DevApp1 e così via). Ogni utente dispone di un singolo set di credenziali di sicurezza. In questo esempio, ogni utente appartiene a un singolo gruppo. Tuttavia, gli utenti possono appartenere a più gruppi IAM.

Esempio di relazione tra Account AWS, utenti e gruppi IAM