# SEC02-BP06 利用使用者群組和屬性
隨著您管理的使用者人數增加,您需要確定整理使用者的方式,以便大規模管理使用者。將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取權。這可讓您透過 [許可集合](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。您可以使用 AWS IAM Identity Center (IAM Identity Center) 來管理使用者群組和屬性。IAM Identity Center 支援最常用的屬性,無論是在使用者建立期間手動輸入,還是使用同步引擎自動佈建,例如 System for Cross-Domain Identity Management (SCIM) 規格中所定義。
將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取情形。這可讓您透過一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 如果您是使用 AWS IAM Identity Center (IAM Identity Center),請設定群組:IAM Identity Center 可讓您設定使用者群組,並將所需的許可層級指派給群組。
+ [AWS 單一登入 - 管理身分](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 了解屬性型存取控制 (ABAC):ABAC 是一種授權策略,可根據屬性定義許可。
+ [什麼是 ABAC for AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相關範例:**
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)