使用 AWS 资源组 的先决条件 - AWS 资源组
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS 资源组 的先决条件

在开始使用资源组之前,请确保您有一个具有现有资源的活动 AWS 账户,以及用于标记资源和创建组的适当权限。

注册 AWS

如果您没有 AWS 账户,请通过以下步骤创建一个账户。

注册 AWS

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account

  2. 按照屏幕上的说明进行操作。

创建资源

您可以创建空的资源组,但在组中具有资源之前, 无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅可以与 AWS 资源组 一起使用的资源

设置权限

要充分利用资源组和 Tag Editor,您可能需要额外的权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记这些服务中的资源并将这些资源包括在资源组中。

  • 使用 Tag Editor 控制台所需的权限

  • 使用 AWS 资源组 控制台和 API 所需的权限。

如果您是管理员,可以通过 AWS Identity and Access Management (IAM) 服务创建策略,为用户提供权限。首先创建 IAM 用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的信息,请参阅使用策略

面向单个服务的权限

重要

本节介绍在要从其他服务控制台和 APIs 标记资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作的权限,如 Amazon EC2 用户指南 中列出的权限。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关 Amazon EC2 的此类策略的示例,请参阅 中的Amazon EC2用于 控制台的策略示例。Amazon EC2 用户指南(适用于 Linux 实例)

和 资源组 所需的权限Tag Editor

要使用 资源组 和 Tag Editor,必须在 IAM 中将以下权限添加到用户的策略声明中。下一节介绍如何添加所需的权限。

  • resource-groups:*(此权限允许所有 资源组 操作,但限制可供用户使用的操作,您可以将星号替换为特定的 资源组 操作,并根据需要添加更多权限以允许更多特定的操作。)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

要在控制台中使用 资源组 和 Tag Editor,您还需要运行 resource-groups:ListGroupResources 操作的权限。列出当前区域中的可用资源类型需要此权限。当前不支持将策略条件与 resource-groups:ListGroupResources 结合使用。

授予使用 AWS 资源组 和 Tag Editor 的权限

要向用户添加使用 AWS 资源组 和 Tag Editor 的策略,请执行以下操作。

  1. 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users (用户)

  3. 查找您要向其授予 AWS 资源组 和 Tag Editor 权限的用户。选择用户的名称以打开用户属性页。

  4. 选择添加权限

  5. 选择直接附加现有策略

    
                            IAM 附加策略。
  6. 选择 Create policy (创建策略)

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    此策略语句仅授予 AWS 资源组 和 Tag Editor 操作的权限。它不允许在 AWS 资源组 控制台中访问 AWS Systems Manager 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须将 Systems Manager 权限附加到您的策略(例如 ssm:*)。有关授予对 Systems Manager 的访问权限的更多信息,请参阅 用户指南 中的配置对 Systems Manager 的访问权限AWS Systems Manager。

  8. 选择查看策略

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

    
                            IAM 查看策略名称和描述。
  10. 选择 Create policy (创建策略)

  11. 现在,该策略已保存在 IAM 中,您可以将其附加到其他用户。有关如何将策略添加到用户的更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy 用户指南 中的IAM通过将策略直接附加到用户来添加权限

了解有关 AWS 资源组 授权和访问控制的更多信息

资源组 支持以下内容。

  • 基于操作的策略。 例如,您可以创建一个策略,允许用户执行 ListGroups 操作,但不能执行其他操作。

  • 资源级权限。 资源组 支持使用 ARNs 在策略中指定各个资源。

  • 根据标签进行授权。 资源组 支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许 资源组 用户对您已标记的组具有完全访问权限。

  • 临时凭证。 用户可以通过允许 AWS 资源组 操作的策略代入角色。

资源组 不支持基于资源的策略。

资源组 不使用任何服务相关角色。

有关 资源组 和 Tag Editor 如何与 AWS Identity and Access Management (IAM) 集成的更多信息,请参阅 AWS Identity and Access Management 用户指南 中的以下主题。