使用的先决条件Amazon Resource Groups - Amazon Resource Groups和标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用的先决条件Amazon Resource Groups

在开始使用资源组之前,请确保您有一个具有现有资源的活动 Amazon 账户,以及用于标记资源和创建组的适当权限。

注册Amazon

如果您还没有 Amazon Web Services 账户 ,请完成以下步骤创建一个。

注册 Amazon Web Services 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

创建资源

您可以创建空的资源组,但在组中有资源之前,您无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅你可以使用的资源Amazon Resource Groups标签编辑器

设置权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源.

  • 使用标签编辑器控制台所需的权限

  • 使用 Amazon Resource Groups 控制台和 API 所需的权限。

如果您是管理员,可以通过 Amazon Identity and Access Management (IAM) 服务创建策略,为用户提供权限。首先创建 IAM 用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的信息,请参阅使用策略.

面向单个服务的权限

重要

本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作权限,如在Amazon EC2 用户指南.

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关用于 Amazon EC2 的此类策略示例,请参阅用于 Amazon EC2 控制台的示例策略中的适用于 Linux 实例的 Amazon EC2 用户指南.

Resource Groups 和标签编辑器所需的权限

要使用 Resource Groups 和标签编辑器,必须在 IAM 中将以下权限添加到用户的策略声明中。您可以添加Amazon-托管策略,由Amazon,您也可以创建和维护自己的自定义策略。

使用AmazonResource Groups 和标签编辑器权限的托管策略

Amazon Resource Groups和标签编辑器支持以下内容:Amazon可用于向用户提供预定义的权限集托管策略。您可以将这些托管策略附加到任何用户、角色或组,就像您创建的任何其他策略一样。

资源组和标签编辑器只读访问

此策略授予附加的 IAM 用户或角色调用 Resource Groups 和标签编辑器的只读操作的权限。要读取资源的标签,您还必须通过单独的策略对该资源拥有权限(请参阅以下重要说明)。

ResourceGroupsandTagEditorFullAccess

此策略授予附加的 IAM 用户或角色在标签编辑器中调用任何 Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略对该资源拥有权限(请参阅以下重要说明)。

重要

之前的两个策略授予调用 Resource Groups 和标签编辑器操作以及使用这些控制台的权限。对于 Resource Groups 操作,这些策略已足够,并授予在 Resource Groups 控制台中使用任何资源所需的所有权限。

但是,对于标签操作和标签编辑器控制台,权限更加精细。您不仅必须拥有调用操作的权限,还必须拥有对您试图访问其标签的特定资源的适当权限。要授予对标签的访问权限,还必须附加以下策略之一:

  • 这些区域有:Amazon-托管策略ReadOnlyAccess授予对每个服务资源的只读操作的权限。Amazon使用新的自动使此政策保持最新状态Amazon在服务可用时。

  • 许多服务提供特定于服务的只读Amazon-托管策略,您可以用来限制对该服务提供的资源的访问权限。例如,Amazon EC2 提供AmazonEC2ReadOnlyAccess.

  • 您可以创建自己的策略,该策略仅授予对希望用户访问的少数服务和资源的非常特定的只读操作的访问权限。此策略使用 “允许列表” 策略或拒绝列表策略。

    允许列表策略利用默认情况下拒绝访问的事实,直到您显式允许它在政策中。因此,您可以使用类似于以下示例的策略:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

    或者,您可以使用 “拒绝列表” 策略,允许访问除明确阻止的资源之外的所有资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

手动添加 Resource Groups 和标签编辑器权限

  • resource-groups:*(此权限允许所有 Resource Groups 操作。 相反,如果要限制可供用户使用的操作,您可以将星号替换为特定的 Resource Groups 操作或用逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

要在控制台中使用 Resource Groups 和标签编辑器,还需要权限才能运行resource-groups:ListGroupResourcesaction. 此权限对于列出当前区域中的可用资源类型是必需的。针对 使用策略条件resource-groups:ListGroupResources当前不支持。

授予使用权限Amazon Resource Groups和标签编辑器

要为用户添加使用 Amazon Resource Groups和标签编辑器的策略,请执行以下操作。

  1. 打开 IAM 控制台

  2. 在导航窗格中选择用户

  3. 找到要授予 Amazon Resource Groups和标签编辑器权限的用户。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions (添加权限)

  5. 选择直接附加现有策略

  6. 选择创建策略

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    此示例策略声明仅授予针对Amazon Resource Groups和标签编辑器操作。它不允许在 Amazon Resource Groups 控制台中访问 Amazon Systems Manager 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须拥有附加到您的策略的 Systems Manager 权限(例如)ssm:*)。有关授予对 Systems Manager 的访问权限的更多信息,请参阅配置对 Systems Manager 的访问中的Amazon Systems Manager用户指南.

  8. 选择 Review policy (查看策略)

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

  10. 选择创建策略

  11. 现在,该策略已保存在 IAM 中,您可以将其附加到其他用户。有关如何将策略添加到用户的更多信息,请参阅将策略直接附加到用户来添加权限中的IAM 用户指南.

了解有关 的更多信息Amazon Resource Groups授权和访问控制

Resource Groups 支持以下内容。

  • 基于操作的策略。例如,您可以创建一个策略以允许用户执行ListGroups操作,但没有其他行动。

  • 资源级权限。Resource Groups 支持使用ARN在策略中指定各个资源。

  • 根据标签进行授权。Resource Groups 支持使用资源标签在保单的条件下。例如,您可以创建一个策略,以允许 Resource Groups 用户对已标记的组具有完全访问权限。

  • 临时凭证。用户可以通过允许 Amazon Resource Groups 操作的策略代入角色。

Resource Groups 不支持基于资源的策略。

Resource Groups 不使用任何服务相关角色。

有关 Resource Groups 和标签编辑器如何与集成的更多信息Amazon Identity and Access Management(IAM),请参阅中的以下主题Amazon Identity and Access Management用户指南.