设置权限 - 标记 Amazon 资源和标签编辑器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要充分利用标签编辑器,您可能需要更多权限来标记资源或查看资源的标签密钥和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。

  • 使用标签编辑器控制台所需的权限。

如果您是管理员,则可以通过创建策略来为用户提供权限 Amazon Identity and Access Management (IAM) 服务。您首先创建IAM角色、用户或群组,然后应用具有所需权限的策略。有关创建和附加IAM策略的信息,请参阅使用策略

面向单个服务的权限

重要

本节介绍如果要标记其他资源的资源,则需要哪些权限 Amazon 服务控制台和APIs

要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记亚马逊EC2实例,您必须拥有在该服务(例如 Amazon)中执行标记操作的API权限 EC2 CreateTags操作。

使用标签编辑器控制台所需的权限

要使用标签编辑器控制台列出和标记资源,必须在中的用户政策声明中添加以下权限IAM。你可以添加任一项 Amazon 由以下人员维护和保持更新的托管策略 Amazon,或者您可以创建和维护自己的自定义策略。

使用 Amazon 标签编辑器权限的托管策略

标签编辑器支持以下内容 Amazon 托管策略,您可以使用这些策略向用户提供一组预定义的权限。正如您创建的任何其他策略一样,您可以将这些托管策略附加到任何角色、用户或组。

ResourceGroupsandTagEditorReadOnlyAccess

此策略向附加的IAM角色或用户授予对两个角色或用户调用只读操作的权限 Amazon Resource Groups 和标签编辑器。要读取资源的标签,您还必须通过单独的策略拥有该资源的权限。请在以下重要说明中了解更多信息。

ResourceGroupsandTagEditorFullAccess

此策略向附加的IAM角色或用户授予在标签编辑器中调用任何 Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限。请在以下重要说明中了解更多信息。

重要

前两项策略授予调用标签编辑器操作和使用标签编辑器控制台的权限。但是,您不仅需要拥有调用该操作的权限,还必须拥有您尝试访问其标签的特定资源的相应权限。要授予对标签的访问权限,您还必须附加以下策略之一:

  • 这些区域有: Amazon 托管策略 ReadOnlyAccess授予每项服务资源的只读操作权限。 Amazon 自动使本政策与新政策保持同步 Amazon Web Services 服务 当它们可用时。

  • 许多服务都提供特定于服务的只读服务 Amazon 托管策略,您可以使用这些策略来限制仅访问该服务提供的资源。例如,亚马逊EC2提供 AmazonEC2ReadOnlyAccess.

  • 您可以创建自己的策略,仅授予您希望用户访问的少数服务和资源的特定只读操作的权限。此策略使用允许列表或拒绝列表策略。

    允许列表策略利用了这样一个事实:在策略中,在明确允许访问之前,默认情况下访问是被拒绝的。因此,您可以使用以下示例中体现出的政策。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:*" ], "Resource": "<ARNs of resources to allow tagging>" } ] }

    或者,您可以使用拒绝列表策略,允许访问除您明确屏蔽的资源之外的其他资源。这需要一个针对相关用户允许访问的单独策略。然后,以下示例策略拒绝访问由 Amazon 资源名称 (ARN) 列出的特定资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "tag:*" ], "Resource": "<ARNs of resources to disallow tagging>" } ] }

手动添加标签编辑器权限

  • tag:*(此权限允许所有标签编辑器操作。如果您想限制用户的可用操作,则可以将星号替换为特定操作或替换为以逗号分隔的操作列表。)

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

  • resource-groups:SearchResources

  • resource-groups:ListResourceTypes

注意

resource-groups:SearchResources权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。

resource-explorer:ListResources权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。

授予使用标签编辑器的权限

添加策略以供使用 Amazon Resource Groups 然后将标签编辑器设置为角色,请执行以下操作。

  1. 打开IAM控制台进入角色页面

  2. 找到要授予其标签编辑器权限的角色。选择新角色以打开该角色的摘要页面。

  3. 权限选项卡中,请选择添加权限

  4. 选择直接附加现有策略

  5. 选择创建策略

  6. JSON选项卡上,粘贴以下政策声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*", "resource-groups:SearchResources", "resource-groups:ListResourceTypes" ], "Resource": "*" } ] }
    注意

    该策略声明仅授予执行标签编辑器操作的权限。

  7. 依次选择 Next: Tags(下一步:标签)Next: Review(下一步:查看)

  8. 输入新策略的名称和说明。例如,AWSTaggingAccess

  9. 选择创建策略

现在,策略已保存在中IAM,您可以将其附加到其他委托人,例如角色、群组或用户。有关如何向委托人添加策略的更多信息,请参阅IAM用户指南中的添加和删除IAM身份权限

基于标签的授权和访问控制

Amazon Web Services 服务 支持以下内容:

  • 基于操作的策略 – 例如,您可以创建一个策略,以允许用户执行 GetTagKeysGetTagValues 操作,但不能执行其他操作。

  • 策略中的资源级权限 — 许多服务支持使用ARNs在策略中指定单个资源。

  • 根据标签进行授权 – 很多服务支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许用户对跟用户拥有相同标签的组具有完全访问权限。有关更多信息,请参阅用ABAC途 Amazon? Amazon Identity and Access Management 用户指南

  • 临时凭证 – 用户可以通过允许标签编辑器操作的策略担任角色。

标签编辑器不使用服务相关角色。

有关标签编辑器如何与之集成的更多信息 Amazon Identity and Access Management (IAM),请参阅中的以下主题 Amazon Identity and Access Management 用户指南