设置权限 - 标记Amazon资源和标签编辑器
面向单个服务的权限 使用标签编辑器控制台所需的权限授予使用标签编辑器的权限基于标签的授权和访问控制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要充分利用标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。

  • 使用标签编辑器控制台所需的权限。

如果您是管理员,则可以通过通过 Amazon Identity and Access Management (IAM) 服务创建策略来为用户提供权限。首先创建 IAM 角色、用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的信息,请参阅使用策略

面向单个服务的权限

重要

本节介绍在您想要标记来自其他Amazon服务控制台的资源时所需的权限,以及 APIs

要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记亚马逊 EC2 实例,您必须拥有在该服务的 API 中执行标记操作的权限,例如亚马逊 EC2CreateTags操作。

使用标签编辑器控制台所需的权限

要使用标签编辑器控制台列出和标记资源,必须在 IAM 中将以下权限添加到用户的策略声明中。您可以添加由其维护和保持最新的Amazon托管策略Amazon,也可以创建和维护自己的自定义策略。

使用Amazon托管策略获得标签编辑器权限

标签编辑器支持以下Amazon托管策略,您可以使用这些策略向用户提供一组预定义的权限。正如您创建的任何其他策略一样,您可以将这些托管策略附加到任何角色、用户或组。

ResourceGroupsandTagEditorReadOnlyAccess

此策略授予附加的 IAM 角色或用户调用两者的只读操作Amazon Resource Groups和标签编辑器的权限。要读取资源的标签,还必须通过单独的策略拥有该资源的权限。请在以下重要说明中了解更多信息。

ResourceGroupsandTagEditorFullAccess

此策略授予附加的 IAM 角色或用户权限,以在标签编辑器中调用任何资源组操作以及调用读取和写入标签操作。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限。请在以下重要说明中了解更多信息。

重要

前两项策略授予调用标签编辑器操作和使用标签编辑器控制台的权限。但是,您不仅需要拥有调用该操作的权限,还必须拥有您尝试访问其标签的特定资源的相应权限。要授予对标签的访问权限,您还必须附加以下策略之一:

  • Amazon托管策略ReadOnlyAccess授予对每个服务资源的只读操作权限。 AmazonAmazon Web Services 服务当有新政策可用时,会自动更新此政策。

  • 许多服务都提供特定于服务的只读Amazon托管策略,您可以使用这些策略将访问权限限制为仅访问该服务提供的资源。例如,亚马逊 EC2 提供AmazonEC2ReadOnlyAccess

  • 您可以创建自己的策略,仅授予您希望用户访问的少数服务和资源的特定只读操作的权限。此策略使用允许列表或拒绝列表策略。

    允许列表策略利用了这样一个事实:在策略中,在明确允许访问之前,默认情况下访问是被拒绝的。因此,您可以使用以下示例中体现出的政策。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "tag:*" ],
            "Resource": [
                "arn:aws:ec2:us-east-1:444455556666:*",
                "arn:aws:s3:::amzn-s3-demo-bucket2"
                ]
        }
    ]
}

    或者,您可以使用拒绝列表策略,允许访问除您明确屏蔽的资源之外的其他资源。这需要一个针对相关用户允许访问的单独策略。以下是一个策略示例,它拒绝对Amazon 资源名称(ARN)所列特定资源的访问。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [ "tag:*" ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance:*",
                "arn:aws:s3:::amzn-s3-demo-bucket3"
             ]
        }
    ]
}

手动添加标签编辑器权限

  • tag:*(此权限允许所有标签编辑器操作。如果您想限制用户的可用操作,则可以将星号替换为特定操作或替换为以逗号分隔的操作列表。)

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

  • resource-groups:SearchResources

  • resource-groups:ListResourceTypes

注意

resource-groups:SearchResources 权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。

resource-explorer:ListResources 权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。

授予使用标签编辑器的权限

要为角色添加使用策略Amazon Resource Groups和标签编辑器,请执行以下操作。

  1. 打开 IAM 控制台的角色页面

  2. 找到要授予其标签编辑器权限的角色。选择新角色以打开该角色的摘要页面。

  3. 权限选项卡中,请选择添加权限

  4. 选择直接附加现有策略

  5. 选择 创建策略

  6. JSON 选项卡上,粘贴以下策略声明。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*",
        "resource-groups:SearchResources",
        "resource-groups:ListResourceTypes"
      ],
      "Resource": "*"
    }
  ]
}
    注意

    该策略声明仅授予执行标签编辑器操作的权限。

  7. 依次选择 Next: Tags(下一步:标签)Next: Review(下一步:查看)

  8. 输入新策略的名称和说明。例如 AWSTaggingAccess

  9. 选择 创建策略

现在,策略已保存在 IAM 中,您可以将其附加到其他主体,例如角色、群组或用户。有关将策略添加到主体的更多信息,请参阅 《IAM 用户指南》 中的添加和删除 IAM 身份权限

基于标签的授权和访问控制

Amazon Web Services 服务支持以下内容:

  • 基于操作的策略 – 例如,您可以创建一个策略,以允许用户执行 GetTagKeysGetTagValues 操作,但不能执行其他操作。

  • 策略中的资源级权限 — 许多服务支持使用ARNs在策略中指定单个资源。

  • 根据标签进行授权 – 很多服务支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许用户对跟用户拥有相同标签的组具有完全访问权限。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在《Amazon Identity and Access Management用户指南》中。

  • 临时凭证 – 用户可以通过允许标签编辑器操作的策略担任角色。

标签编辑器不使用服务相关角色。

有关标签编辑器如何与 Amazon Identity and Access Management (IAM) 集成的更多信息,请参阅Amazon Identity and Access Management用户指南中的以下主题: