使用 的先决条件 AWS 资源组 - AWS 资源组
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 的先决条件 AWS 资源组

在开始使用资源组之前,请确保您有一个具有现有资源的活动 AWS 账户,以及用于标记资源和创建组的适当权限。

Sign up for AWS

如果您没有 AWS 账户,请通过以下步骤创建一个账户。

注册 AWS

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account

  2. 按照屏幕上的说明进行操作。

创建资源

您可以创建空资源组,但在组中的资源存在之前, 无法在资源组成员上执行任何任务。有关支持的资源类型的更多信息,请参阅可以与 一起使用的资源 AWS 资源组

设置权限

要充分利用资源组和 Tag Editor,您可能需要额外的权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源.

  • 使用 Tag Editor 控制台所需的权限

  • 使用 AWS 资源组 控制台和 API 所需的权限。

如果您是管理员,可以通过 AWS Identity and Access Management (IAM) 服务创建策略,为用户提供权限。首先创建 IAM 用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的信息,请参阅使用策略

单个服务的权限

重要

本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作的权限,如 Amazon EC2 用户指南 中列出的权限。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关 的此类策略的示例Amazon EC2,请参阅 中的在 控制台Amazon EC2中工作的示例策略Amazon EC2 用户指南(适用于 Linux 实例)

资源组 和 所需的权限 Tag Editor

要使用 资源组 和 Tag Editor,必须将以下权限添加到 中的用户策略语句中IAM。您可以添加由 维护并保持最新的 AWS托管策略AWS,也可以创建和维护自己的自定义策略。

对资源组和标签编辑器权限使用AWS托管策略

AWS 资源组 和标签编辑器支持以下 AWS 托管策略,您可以使用这些策略向用户提供预定义的权限集。您可以将这些托管策略附加到任何 用户、角色或组,就像您创建的任何其他策略一样。

ResourceGroupsandTagEditorReadOnlyAccess

此策略授予附加的IAM用户或角色为 资源组 和标签编辑器调用只读操作的权限。要读取资源的标签,您还必须通过单独的策略对该资源具有 权限(请参阅以下重要说明)。

ResourceGroupsandTagEditorFullAccess

此策略授予附加的IAM用户或角色在标签编辑器中调用任何 资源组 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略对该资源具有权限(请参阅以下重要说明)。

重要

以前的两个策略授予调用 资源组 和标签编辑器操作并使用这些控制台的权限。对于资源组操作,这些策略已足够,并授予在资源组控制台中处理任何资源所需的所有权限。

但是,对于标记操作和标签编辑器控制台,权限更加精细。您必须不仅具有调用 操作的权限,还必须具有对其标签尝试访问的特定资源的适当权限。要授予该标签访问权限,您还必须附加以下策略之一:

  • AWS托管策略 ReadOnlyAccess 为每个服务的资源授予只读操作权限。 AWS 会在新AWS服务可用时自动使该策略保持最新。

  • 许多 服务提供特定于服务的只读 AWS托管策略,您可以使用这些策略将访问限制为该服务提供的资源。例如, Amazon EC2 提供 AmazonEC2ReadOnlyAccess

  • 您可以创建自己的策略,仅授予对您希望用户访问的少数服务和资源的非常具体的只读操作的访问权限。此策略使用“允许列表”策略或拒绝列表策略。

    允许列表策略利用以下事实:在策略中明确允许访问之前,默认拒绝访问。因此,您可以使用类似于以下示例的策略:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ], "Resource": "?????????" } ] }

    或者,您也可以使用“拒绝列表”策略,该策略允许访问除您显式阻止的资源之外的所有资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ], "Resource": "?????????" } ] }

手动添加资源组和标签编辑器权限

  • resource-groups:* (此权限允许所有 资源组 操作。 如果要限制用户可用的操作,您可以将星号替换为特定资源组操作,或者替换为逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

要在 控制台资源组中使用 Tag Editor 和 ,您还需要运行 resource-groups:ListGroupResources 操作的权限。列出当前区域中的可用资源类型需要此权限。当前不支持将策略条件与 resource-groups:ListGroupResources 结合使用。

授予使用 AWS 资源组 和 的权限 Tag Editor

要向用户添加使用 AWS 资源组 和 Tag Editor 的策略,请执行以下操作。

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Users

  3. 查找要向其授予 AWS 资源组 和 Tag Editor 权限的用户。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions (添加权限)

  5. 选择直接附加现有策略

  6. 选择 Create policy

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    此示例策略语句仅授予 AWS 资源组 和 Tag Editor 操作的权限。它不允许在 AWS Systems Manager 控制台中访问 AWS 资源组 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须将 Systems Manager 权限附加到您的策略(例如 ssm:*)。有关授予对 的访问权限的更多信息Systems Manager,请参阅 https://docs.amazonaws.cn/systems-manager/latest/userguidesystems-manager-access.html 用户指南中的AWS Systems Manager配置对 Systems Manager 的访问权限。

  8. 选择查看策略

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

  10. 选择 Create policy

  11. 现在,该策略已保存在 IAM 中,您可以将其附加到其他用户。有关如何向用户添加策略的更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy 用户指南 中的通过将策略直接附加到用户IAM来添加权限。

了解有关AWS 资源组授权和访问控制的更多信息

资源组 支持以下内容。

  • 基于操作的策略。 例如,您可以创建一个策略,允许用户执行 ListGroups 操作,但不能执行其他操作。

  • 资源级权限。 资源组 支持使用 ARN 在策略中指定各个资源。

  • 根据标签进行授权。 资源组 支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许 资源组 用户对您已标记的组具有完全访问权限。

  • 临时凭证。 用户可以通过允许 AWS 资源组 操作的策略代入角色。

资源组 不支持基于资源的策略。

资源组 不使用任何服务相关角色。

有关 如何将 资源组 和 与 Tag Editor (AWS Identity and Access Management) IAM 集成的更多信息,请参阅 AWS Identity and Access Management 用户指南 中的以下主题。