本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 使用者群組
<a name="id_groups"></a>

IAM [*使用者群組*](#id_groups)是 IAM 使用者的集合。使用者群組可讓您指定多個使用者的許可，從而可以更輕鬆地管理這些使用者的許可。例如，您可以擁有一個名為 *Admins* 的使用者群組，並為該使用者群組提供典型的管理員許可。該使用者群組中的任何使用者都自動擁有 *Admins* 群組許可。如果新使用者加入您的組織並需要管理員權限，您可以透過將使用者新增到 *Admins* 使用者群組來指派適當的許可。如果某人在您的組織中變更工作，而不是編輯該使用者的許可，您可以將他們從舊 IAM 群組中移除，並將他們新增到適當的新 IAM 群組中。

您可以將身分型政策連接至使用者群組，以便使用者群組中的所有使用者都會收到該政策的許可。您無法將使用者群組識別為政策 (例如資源型政策) 中的 `Principal`，因為群組與許可 (而非驗證) 相關，並且主體是經過驗證的 IAM 實體。如需有關政策類型的詳細資訊，請參閱 [以身分為基礎和以資源為基礎的政策](access_policies_identity-vs-resource.md)。

以下是 IAM 群組的一些重要特性：
+ 使用者群組可以包含許多使用者，使用者可以屬於多個使用者群組。
+ 使用者群組不能為巢狀；群組只能包含使用者，而不包含其他 IAM 群組。
+ 沒有預設使用者群組自動包含 AWS 帳戶中的所有使用者。如果您想擁有這樣的使用者群組，您必須建立它並指派每個新使用者到該群組。
+ 中的 IAM 資源數量和大小會受到限制 AWS 帳戶，例如群組數量，以及使用者可以成為成員的群組數量。如需詳細資訊，請參閱[IAM AWS STS 和配額](reference_iam-quotas.md)。

下圖顯示一個小型公司的簡單範例。該公司擁有者為使用者建立 `Admins` 使用者群組，以便隨著公司的成長建立和管理其他使用者。所以此 `Admins` 使用者群組會建立 `Developers` 使用者群組和 `Test` 使用者群組。這些 IAM 群組都包含與 (Jim、Brad、DevApp1 等） 互動的使用者 AWS （人類和應用程式）。每個使用者都有一組個別的安全憑證。在這個範例中，每個使用者均屬於單一使用者群組。不過，使用者可屬於多個 IAM 群組。

![AWS 帳戶、使用者和 IAM 群組之間的關係範例](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/Relationship_Between_Entities_Example.diagram.png)