使用的前提条件 AWS 资源组 - AWS 资源组
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用的前提条件 AWS 资源组

在开始使用资源组之前,请确保您有一个具有现有资源的活动 AWS 账户,以及用于标记资源和创建组的适当权限。

注册 AWS

如果您没有 AWS 账户,请通过以下步骤创建一个账户。

注册 AWS

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account

  2. 按照屏幕上的说明进行操作。

创建资源

您可以创建空资源组,但在组中有资源之前,无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅可用于以下项的资源 AWS 资源组

设置权限

充分利用资源组和 Tag Editor,您可能需要其他权限来标记资源或查看资源的标记键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记这些服务中的资源并将这些资源包括在资源组中。

  • 使用 Tag Editor 控制台

  • 使用 AWS 资源组 控制台和 API 所需的权限。

如果您是管理员,可以通过 AWS Identity and Access Management (IAM) 服务创建策略,为用户提供权限。首先创建 IAM 用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加IAM策略的信息,请参阅 使用政策.

个人服务权限

重要

此部分描述了如果要标记其他服务控制台和 APIs,并将这些资源添加到资源组。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作的权限,如 Amazon EC2 用户指南 中列出的权限。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。例如, Amazon EC2,请参阅 在 Amazon EC2 控制台Amazon EC2 用户指南(适用于 Linux 实例).

的必需权限 资源组 和 Tag Editor

使用 资源组 和 Tag Editor,必须将以下权限添加到中的用户策略语句中 IAM. 下一节介绍如何添加所需的权限。

  • resource-groups:*(此权限允许所有 资源组 操作,但限制可供用户使用的操作,您可以将星号替换为特定的 资源组 操作,并根据需要添加更多权限以允许更多特定的操作。)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

使用 资源组 和 Tag Editor 在控制台中,您还需要运行 resource-groups:ListGroupResources 行动。此权限对于列出当前区域中的可用资源类型是必需的。使用策略条件 resource-groups:ListGroupResources 当前不支持。

授予使用的权限 AWS 资源组 和 Tag Editor

要添加使用的策略 AWS 资源组 和 Tag Editor 对用户,请执行以下。

  1. 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users (用户)

  3. 查找您要授予的用户 AWS 资源组 和 Tag Editor 权限。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions (添加权限)

  5. 选择直接附加现有策略

    
                            IAM 附上政策。
  6. 选择 Create policy (创建策略)

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    此策略声明仅授予 AWS 资源组 和 Tag Editor 操作。它不允许在 AWS 资源组 控制台中访问 AWS Systems Manager 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须将 Systems Manager 权限附加到您的策略(例如 ssm:*)。有关授予访问权限的更多信息, Systems Manager,请参阅 配置对系统管理器的访问AWS Systems Manager 用户指南.

  8. 选择查看策略

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

    
                            IAM 查看策略名称和描述。
  10. 选择 Create policy (创建策略)

  11. 现在,该策略已保存在 IAM 中,您可以将其附加到其他用户。有关如何向用户添加策略的更多信息,请参阅 通过直接将策略附加到用户来添加权限IAM 用户指南.

进一步了解 AWS 资源组 授权和访问控制

资源组 支持以下内容。

  • 基于操作的策略。 例如,您可以创建允许用户执行 ListGroups 操作,但无其他操作。

  • 资源级权限。 资源组 支持使用 ARNs 在策略中指定单个资源。

  • 根据标签进行授权。 资源组 支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许 资源组 用户对您已标记的组具有完全访问权限。

  • 临时凭证。 用户可以通过允许 AWS 资源组 操作的策略代入角色。

资源组 不支持基于资源的策略。

资源组 不使用任何服务链接角色。

有关如何 资源组 和 Tag Editor 与集成 AWS Identity and Access Management (人IAM),请参阅中的以下主题 AWS Identity and Access Management 用户指南.