AWS 管理控制台
入门指南 (Version 1.0)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

获取资源组的权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为两个类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源

  • 使用资源组和标签编辑器控制台所需的权限

如果需要更多权限,请联系管理员申请所需权限。

如果您是管理员,可以通过 AWS Identity and Access Management (AWS IAM) 服务创建策略,为用户提供权限。首先创建 IAM 用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的一般信息,请参阅使用策略

面向单个服务的权限

重要

本节介绍在您从各个服务的控制台和 API 为资源添加标签并将其纳入资源组的过程中,这些服务所需的权限。

资源组的工作原理中所述,每个资源组都表示共享一个或多个标签键或值的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,如果要标记 Amazon EC2 实例,您的管理员必须在该服务的 API (如 Amazon EC2 用户指南中所列) 中向您授予标记操作权限。

此外,要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关 Amazon EC2 的这类策略的示例,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的用于 Amazon EC2 控制台的策略示例

授予使用资源组和标签编辑器的权限

重要

本节介绍在您通过资源组控制台、标签编辑器控制台和资源组标记 API 为资源添加标签的过程中需要的权限。

如果要从各个服务的控制台或 API 为属于 AWS 服务的资源添加标签,请参阅上一节“面向各个服务的权限”。

如果您是管理员,则可为他人授予使用资源组和标签编辑器的权限。为此,请创建 IAM 策略并将其附加到用户、组或角色。有关创建和处理用户、组合角色的更多信息,请参阅 IAM 用户指南 中的身份 (用户、组和角色)。要附加适用于资源组和标签编辑器的策略,请参阅以下程序。

将 AWS 托管策略用于资源组和标签编辑器

附加策略的最简单方式是使用 AWS 管理控制台 中的某个 AWS 托管策略。它提供了适用于资源组和标签编辑器服务的完全访问策略和只读策略。有关托管 IAM 策略的更多信息,请参阅 IAM 用户指南 中的托管策略与内联策略

向 IAM 用户或组附加资源组和标签编辑器策略

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Policies

  3. Filter: Policy Type 搜索框中,开始键入 ResourceGroupsandTagEditor 以显示资源组和标签编辑器策略。

  4. 选中所需策略旁的复选框:

    • ResourceGroupsand­TagEditorReadOnlyAccess 允许用户访问和使用资源组和标签编辑器,但不允许他们在标签编辑器中编辑标签。

       

    • ResourceGroupsandTagEditorFullAccess允许用户完全使用所有资源组和标签编辑器功能。

  5. 选择 Policy Actions,然后选择 Attach

  6. 选中您希望应用策略的每个用户或组名称旁的复选框,然后选择 Attach policy

为资源组和标签编辑器创建自己的 IAM 策略

如果用于资源组和标签编辑器的内置 IAM 策略 (称为 AWS 托管策略) 不能满足您的需求,您还可以创建自己的策略。有关创建 IAM 策略的信息,请参阅 IAM 策略概述。以下面的 IAM 策略示例作为指南,创建您需要的策略。

列出共享特定标签的资源(如在标签编辑器中查看资源组或搜索资源时)需要 tag:getResources 权限。您可以使用如下所示的策略授予此权限:

Copy
{ "Version" : "2012-10-17", "Statement" : [{ "Effect" : "Allow", "Action" : "tag:getResources", "Resource" : "*" }] }

获取资源组和标签编辑器控制台的完全使用权限需要更多权限。tag:getTagKeystag:getTagValues 权限允许您查看您账户中的资源的现有标签键和值。您可以使用如下所示的策略授予这两个权限:

Copy
{ "Version" : "2012-10-17", "Statement" : [{ "Effect" : "Allow", "Action" : [ "tag:getTagKeys", "tag:getTagValues" ], "Resource" : "*" }] }

要使用这些控制台添加和删除标签,您需要以下策略中的权限:

Copy
{ "Version" : "2012-10-17", "Statement" : [{ "Effect" : "Allow", "Action" : [ "tag:addResourceTags", "tag:removeResourceTags", "tag:tagResources", "tag:untagResources" ], "Resource" : "*" }] }

最后,以下策略可确保用户可以访问资源组和标签编辑器的所有功能。

Copy
{ "Version" : "2012-10-17", "Statement" : [{ "Effect" : "Allow", "Action" : "tag:*", "Resource" : "*" }] }

本页内容: