使用的先决条件 Amazon Resource Groups - Amazon Resource Groups
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用的先决条件 Amazon Resource Groups

在开始使用资源组之前,请确保您有一个具有现有资源的活动 Amazon 账户,以及用于标记资源和创建组的适当权限。

报名参加 Amazon

如果您没有 Amazon Web Services 账户,请完成以下步骤来创建一个。

要注册 Amazon Web Services 账户
  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。

    当您注册时 Amazon Web Services 账户,就会创建Amazon Web Services 账户根用户一个。根用户有权访问该账户中的所有 Amazon Web Services 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

创建资源

您可以创建空的资源组,但在组中有资源之前,您无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅可以与标签编辑器一起 Amazon Resource Groups 使用的资源类型

设置权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。

  • 使用标签编辑器控制台所需的权限

  • 使用 Amazon Resource Groups 控制台和 API 所需的权限。

如果您是管理员,则可以通过通过 Amazon Identity and Access Management (IAM) 服务创建策略来为您的用户提供权限。您首先创建委托人,例如 IAM 角色或用户,或者使用类似 Amazon IAM Identity Center的服务将外部身份与您的 Amazon 环境关联起来。然后,您可以应用具有用户所需权限的策略。有关创建和附加 IAM 策略的信息,请参阅使用策略

面向单个服务的权限

重要

本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作权限,如 Amazon EC2 用户指南中所列的那些。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关适用于 Amazon EC2 的此类策略的示例,请参阅 Amazon EC2 用户指南中的在亚马逊 EC2 控制台中工作的策略示例。

Resource Groups 和标签编辑器所需的权限

要使用 Resource Groups 和标签编辑器,必须在 IAM 中将以下权限添加到用户的策略声明中。您可以添加 up-to-date 由其维护和保留的 Amazon托管策略 Amazon,也可以创建和维护自己的自定义策略。

使用 Amazon 托管策略获取 Resource Groups 和标签编辑器权限

Amazon Resource Groups 和标签编辑器支持以下 Amazon 托管策略,您可以使用这些策略向用户提供一组预定义的权限。您可以将这些托管策略附加到任何用户、角色或组,就像您创建的任何其他策略一样。

ResourceGroupsandTagEditorReadOnlyAccess

此策略向附加的 IAM 角色或用户授予对 Resource Groups 和标签编辑器调用只读操作的权限。要读取资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。

ResourceGroupsandTagEditorFullAccess

此策略项附加的 IAM 角色或用户授予在标签编辑器中调用任何 Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。

重要

前两项策略授予调用 Resource Groups 和标签编辑器操作以及使用这些控制台的权限。对于 Resource Groups 操作,这些策略已足够,并且会授予在资源组控制台中使用任何资源所需的所有权限。

但是,对于标记操作和标签编辑器控制台,权限更加精细。您不仅必须拥有调用该操作的权限,还必须拥有对您尝试访问其标签的特定资源的相应权限。要授予标签的访问权限,您还必须附加以下策略之一:

  • Amazon-manage ReadOnlyAccessd 策略授予对每个服务资源的只读操作权限。 Amazon 当新 Amazon 服务可用时,会自动更新本政策。

  • 许多服务都提供特定于服务的只读 Amazon托管策略,您可以使用该策略将访问权限限制为仅访问该服务提供的资源。例如,亚马逊 EC2 提供亚马逊 EC2 ReadOnlyAccess

  • 您可以创建自己的策略,仅针对您希望用户访问的少数服务和资源授予非常具体的只读操作访问权限。此策略使用“允许列表”策略或拒绝列表策略。

    允许列表策略利用这样一个事实,即在策略中明确允许访问之前,默认情况下会拒绝访问。您可以使用以下示例的策略:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

    或者,您可以使用“拒绝列表”策略,即允许访问除您明确阻止的资源之外的所有资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

手动添加 Resource Groups 和标签编辑器权限

  • resource-groups:*(此权限允许执行所有 Resource Groups 操作。 如果您想限制用户可用的操作,则可以将星号替换为特定的 Resource Groups 操作,或者替换为以逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

注意

resource-groups:SearchResources权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。

resource-explorer:ListResources权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。

要在控制台中使用 Resource Groups 和标签编辑器,还需要运行 resource-groups:ListGroupResources 操作的权限。此权限是列出当前区域中可用资源类型所必需的条件。当前不支持使用带 resource-groups:ListGroupResources 的策略条件。

授予使用 Amazon Resource Groups 和标签编辑器的权限

要向用户添加使用策略 Amazon Resource Groups 和标签编辑器,请执行以下操作。

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择用户

  3. 找到您要向其授予权限的用户 Amazon Resource Groups 和标签编辑器权限。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions(添加权限)。

  5. 选择 Attach existing policies directly(直接附上现有策略)。

  6. 选择 创建策略

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    该示例策略声明仅授予 Amazon Resource Groups 和标签编辑器操作的权限。它不允许访问 Amazon Resource Groups 控制台中的 Amazon Systems Manager 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须将 Systems Manager 权限附加到您的策略(例如 ssm:*)。有关授予访问 Systems Manager 的权限的更多信息,请参阅 Amazon Systems Manager 用户指南中的配置对 Systems Manager 的访问权限

  8. 选择查看策略

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

  10. 选择 创建策略

  11. 现在,该策略已保存在 IAM 中,您可以将其附加到其他用户。有关如何向用户添加策略的更多信息,请参阅 IAM 用户指南中的通过直接将策略附加到用户来添加权限

了解有关 Amazon Resource Groups 授权和访问控制的更多信息

Resource Groups 支持以下内容。

  • 基于操作的策略。例如,您可以创建一个策略,以允许用户执行 ListGroups 操作,但不能执行其他操作。

  • 资源级权限。Resource Groups 支持使用 ARN 在策略中指定各个资源。

  • 根据标签进行授权。Resource Groups 支持在策略条件下使用资源标签。例如,您可以创建一个策略,以允许 Resource Groups 用户对您已标记的组具有完全访问权限。

  • 临时凭证。用户可以通过允许 Amazon Resource Groups 操作的策略来扮演角色。

Resource Groups 不支持基于资源的策略。

Resource Groups 不使用任何服务关联角色。

有关 Resource Groups 和标签编辑器如何与 Amazon Identity and Access Management (IAM) 集成的更多信息,请参阅Amazon Identity and Access Management 用户指南中的以下主题。