与之合作的先决条件Amazon Resource Groups - Amazon Resource Groups
注册Amazon创建 资源设置权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与之合作的先决条件Amazon Resource Groups

在开始使用资源组之前,请确保您有一个具有现有资源的活动 Amazon 账户,以及用于标记资源和创建组的适当权限。

注册Amazon

如果您还没有 Amazon Web Services 账户,请完成以下步骤创建一个。

注册 Amazon Web Services 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

    当您注册 Amazon Web Services 账户时,系统将会创建一个 Amazon Web Services 账户根用户。根用户有权访问该账户中的所有 Amazon Web Services和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户访问权限的任务

创建 资源

您可以创建一个空的资源组,但在资源组中有资源之前,无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅您可以与标签编辑器一起Amazon Resource Groups使用的资源类型

设置权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源.

  • 使用标签编辑器控制台所需的权限

  • 使用 Amazon Resource Groups 控制台和 API 所需的权限。

如果您是管理员,可以通过 Amazon Identity and Access Management (IAM) 服务创建策略,为用户提供权限。您首先创建委托人,例如 IAM 角色或用户,或者使用类似的服务将外部身份与您的Amazon环境关联起来Amazon IAM Identity Center。然后,您可以应用具有用户所需权限的策略。有关创建和附加 IAM 策略的信息,请参阅使用策略

个人服务的权限

重要

本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须有权访问该服务的 API 中的标记操作,例如 Amazon EC2 用户指南中列出的操作。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关 Amazon EC2 的此类策略的示例,请参阅 Amazon EC 2 用户指南(适用于 Linux 实例)Amazon EC2 适用于 Linux 实例

Resource Groups 和标签编辑器所需的权限

要使用Resource Groups 和标签编辑器,必须在 IAM 的用户政策声明中添加以下权限。您可以添加 up-to-date 由维护和维护的Amazon-managed 策略Amazon,也可以创建和维护自己的自定义策略。

对Resource Groups 和标签编辑器权限使用Amazon托管策略

Amazon Resource Groups和标签编辑器支持以下Amazon托管策略,您可以使用这些策略为用户提供一组预定义的权限。您可以将这些托管策略附加到任何用户、角色或组,就像您创建的任何其他策略一样。

ResourceGroupsandTagEditorReadOnlyAccess

此策略授予附加的 IAM 角色或用户调用Resource Groups 和标签编辑器的只读操作的权限。要读取资源的标签,您还必须通过单独的策略获得该资源的权限(请参阅以下重要说明)。

ResourceGroupsandTagEditorFullAccess

此策略授予附加的 IAM 角色或用户在标签编辑器中调用任何Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略获得该资源的权限(请参阅以下重要说明)。

重要

前两项策略授予调用Resource Groups 和标签编辑器操作以及使用这些控制台的权限。对于Resource Groups 操作,这些策略就足够了,可以授予在Resource Groups 控制台中使用任何资源所需的所有权限。

但是,对于标记操作和标签编辑器控制台,权限更为精细。您不仅必须具有调用操作的权限,还必须具有对要访问其标签的特定资源的相应权限。要向标签授予访问权限,您还必须附加以下策略之一:

  • Amazon-manage ReadOnlyAccessd 策略授予对每个服务资源的只读操作的权限。 Amazon当新Amazon服务可用时,会自动使此政策保持最新状态。

  • 许多服务都提供特定于服务的只Amazon读托管策略,您可以使用该策略将访问权限限制为仅对该服务提供的资源。例如,Amazon EC2 提供 A mazoneC2ReadOnlyAccess

  • 您可以创建自己的策略,仅授予对您希望用户访问的少数服务和资源的非常特定的只读操作的访问权限。此策略使用 “允许列表” 策略或拒绝列表策略。

    允许列表策略利用了这样一个事实,即在策略中明确允许访问之前,默认情况下访问会被拒绝。因此,您可以使用与以下示例类似:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    或者,你可以使用 “拒绝列表” 策略,允许访问除你明确封锁的资源之外的所有资源。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

手动添加Resource Groups 和标签编辑器权限

  • resource-groups:*(此权限允许所有Resource Groups 操作。 相反,如果您想限制用户可用的操作,则可以将星号替换为特定的Resource Groups 操作或以逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

要在控制台中使用Resource Groups 和标签编辑器,您还需要运行resource-groups:ListGroupResources操作的权限。此权限是列出当前区域的可用资源类型所必需的。当前resource-groups:ListGroupResources不支持将策略条件附加到

授予使用Amazon Resource Groups和标签编辑器的权限

要为用户添加使用 Amazon Resource Groups和标签编辑器的策略,请执行以下操作。

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Users(用户)。

  3. 找到要授予 Amazon Resource Groups和标签编辑器权限的用户。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions(添加权限)。

  5. 选择 Attach existing policies directly(直接附上现有策略)。

  6. 选择 Create policy(创建策略)

  7. JSON 选项卡上,粘贴以下策略声明。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    注意

    此示例策略声明仅授予对Amazon Resource Groups和标签编辑器操作的权限。它不允许在 Amazon Resource Groups 控制台中访问 Amazon Systems Manager 任务。例如,此策略不授予您使用 Systems Manager Automation 命令的权限。要对资源组执行 Systems Manager 任务,您必须在策略上附加系统管理员权限(例如ssm:*)。有关向 Systems Manager 授予访问权限的更多信息,请参阅《Amazon Systems Manager用户指南》中的 “配置对Systems Manager 访问权限”。

  8. 选择Review policy(查看策略)

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

  10. 选择 Create policy(创建策略)

  11. 现在,策略已保存在IAM 中,您可以将策略附加到 IAM 用户身上。有关如何将策略策略附加到用户手册,请参阅《IAM 用户指南》中的通过将策略直接附加到用户身上。

了解有关Amazon Resource Groups授权和访问控制的更多信息

Resource Groups 支持以下内容。

  • 基于操作的策略。例如,您可以创建一个允许用户执行ListGroups操作但不允许其他操作的策略。

  • 资源级权限。 Resource Group s 支持使用 ARN 在策略中指定各个资源。

  • 根据标签进行授权。 Resource Groups 支持在策略条件下使用资源标签。例如,您可以创建一个策略,允许Resource Groups 用户完全访问您已标记的群组。

  • 临时凭证。用户可以通过允许 Amazon Resource Groups 操作的策略代入角色。

Resource Groups 不支持基于资源的策略。

Resource Groups 不使用任何服务相关角色。

有关Resource Groups 和标签编辑器如何将资源组和标签编辑器集成到Amazon Identity and Access Management (IAM),请参阅《Amazon Identity and Access Management用户指南》中的下列主题。