Requisitos previos para trabajar conAWS Resource Groups - AWS Resource Groupsy etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para trabajar conAWS Resource Groups

Antes de comenzar a trabajar con los grupos de recursos, asegúrese de que tiene una cuenta de AWS activa que disponga de recursos y de los derechos necesarios para etiquetar recursos y crear grupos.

Registrarse en AWS

Si no dispone de una Cuenta de AWS, siga los pasos que figuran a continuación para crear una.

Para registrarse en Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

Crear recursos

Puede crear un grupo de recursos vacío, pero no podrá realizar ninguna tarea con los miembros del grupo de recursos hasta que haya recursos en él. Para obtener más información sobre los tipos de recursos admitidos, consulte Recursos que puedes usar conAWS Resource GroupsEditor de etiquetas de.

Configuración de permisos

Para hacer pleno uso de Resource Groups y Tag Editor, es posible que necesite más permisos para etiquetar recursos o para las claves de etiquetas y los valores de un recurso. Estos permisos se dividen en las categorías siguientes:

  • Los permisos para los servicios individuales, para que pueda etiquetar los recursos de dichos servicios e incluirlos en los grupos de recursos.

  • Permisos necesarios para utilizar la consola de Tag Editor

  • Los permisos necesarios para usar la API y la consola de AWS Resource Groups.

Si es un administrador, puede proporcionar permisos a los usuarios mediante la creación de políticas a través del servicio AWS Identity and Access Management (IAM). En primer lugar, debe crear usuarios o grupos de IAM y, a continuación, aplicar las políticas con los permisos que necesiten. Para obtener información acerca de cómo crear y adjuntar políticas de IAM, consulteTrabajo con políticas.

Permisos para servicios individuales

importante

En esta sección, se describen los permisos que son necesarios para etiquetar recursos desde las API y las consolas de otros servicios, y para añadir dichos recursos a grupos de recursos.

Como se describe en ¿Qué son los grupos de recursos?, cada grupo de recursos representa un conjunto de recursos de los tipos especificados que comparten una o varias claves de etiquetas o valores. Para añadir etiquetas a un recurso, debe tener los permisos necesarios para el servicio al que pertenece el recurso. Por ejemplo, para etiquetar instancias de Amazon EC2, debe tener permisos para las acciones de etiquetado en la API de dicho servicio, como los que se muestran en laGuía del usuario de Amazon EC2.

Para utilizar plenamente la característica de grupos de recursos, necesita otros permisos que le permitan tener acceso a la consola de un servicio e interactuar con los recursos disponibles en ella. Para obtener ejemplos de políticas de este tipo para Amazon EC2, consultePolíticas de ejemplo para trabajar en la consola de Amazon EC2en laGuía del usuario de Amazon EC2 para instancias de Linux.

Permisos necesarios para Resource Groups y Tag Editor

Para utilizar Resource Groups y Tag Editor, se deben añadir los siguientes permisos a la instrucción de política de un usuario en IAM. Puede añadir cualquiera de los dosAWS-políticas gestionadas que se mantienen y mantienen actualizadasAWSo bien, puede crear y mantener su propia política personalizada.

Uso deAWSpolíticas administradas para permisos de Resource Groups y Tag Editor

AWS Resource Groupsy Tag Editor admite lo siguienteAWSpolíticas administradas que puede emplear para proporcionar un conjunto de permisos predefinido a sus usuarios. Puede asociar estas políticas administradas a cualquier usuario, rol o grupo, igual que lo haría con cualquier otra política que cree.

ResourceGroupsandTagEditorReadOnlyAccess

Esta política otorga al usuario o rol de IAM adjunto permiso para llamar a las operaciones de solo lectura para Resource Groups y editor de etiquetas. Para leer las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).

ResourceGroupsandTagEditorFullAccess

Esta política otorga al usuario o rol de IAM adjunto permiso para llamar a cualquier operación de Resource Groups y a las operaciones de etiquetas de lectura y escritura en el Editor de etiquetas. Para leer o escribir las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).

importante

Las dos políticas anteriores otorgan permiso para llamar a las operaciones de Resource Groups y editor de etiquetas y utilizar esas consolas. Para las operaciones de Resource Groups, esas políticas son suficientes y otorgan todos los permisos necesarios para trabajar con cualquier recurso de la consola Resource Groups.

Sin embargo, para las operaciones de etiquetado y la consola del Editor de etiquetas, los permisos son más detallados. Debe tener permisos no solo para invocar la operación, sino también los permisos adecuados para el recurso específico a cuyas etiquetas intentas acceder. Para conceder ese acceso a las etiquetas, también debe adjuntar una de las siguientes políticas:

  • LaAWSpolítica administradaReadOnlyAccessconcede permisos a las operaciones de solo lectura de los recursos de cada servicio.AWSmantiene actualizada automáticamente esta política con las nuevasAWSservicios a medida que estén disponibles.

  • Muchos servicios proporcionan un servicio de solo lectura específicoAWS-políticas administradas que puede utilizar para limitar el acceso solo a los recursos proporcionados por ese servicio. Por ejemplo, Amazon EC2 ofreceAmazonEC2ReadOnlyAccess.

  • Puede crear su propia política que otorgue acceso solo a las operaciones de solo lectura muy específicas para los pocos servicios y recursos a los que desea que accedan los usuarios. Esta política utiliza una estrategia de «lista de permisos» o una estrategia de denegación de listas.

    Una estrategia de listas de permisos aprovecha el hecho de que el acceso se deniega de forma predeterminada hasta que ustedpermitir explícitamenteen una política. Para ello, puede utilizar una política como la del siguiente ejemplo:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

    Alternativamente, podría utilizar una estrategia de «lista de denegación» que permita el acceso a todos los recursos excepto a aquellos que bloquea explícitamente.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

Agregar permisos de Resource Groups y Tag Editor manualmente

  • resource-groups:*(Este permiso permite todas las acciones de Resource Groups. Si desea restringir las acciones disponibles para un usuario, puede sustituir el asterisco por unacción específica de Resource Groupso bien, a una lista de acciones separadas por comas)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

Para utilizar Resource Groups y editor de etiquetas en la consola, también necesita permiso para ejecutar elresource-groups:ListGroupResourcesaction. Este permiso es necesario para enumerar los tipos de recursos disponibles en la región actual. Usar condiciones de política conresource-groups:ListGroupResourcesno se admite en la actualidad.

Conceder permisos para su usoAWS Resource GroupsEditor de etiquetas y

Para añadir una política a un usuario para que pueda utilizar AWS Resource Groups y Tag Editor, haga lo siguiente.

  1. Abra la consola de IAM.

  2. En el panel de navegación, seleccione Users (Usuarios).

  3. Busque el usuario al que desea conceder permisos de AWS Resource Groups y Tag Editor. Elija el nombre del usuario para abrir la página de propiedades del usuario.

  4. Elija Add permissions.

  5. Elija Attach existing policies directly.

  6. Elija Create Policy (Crear política).

  7. En la pestaña JSON, pegue la instrucción de política siguiente:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    nota

    Este ejemplo de instrucción de política concede permisos únicamente paraAWS Resource Groupsy acciones de Tag Editor. No permite el acceso a las tareas de AWS Systems Manager en la consola de AWS Resource Groups. Por ejemplo, esta política no concede permisos para utilizar los comandos de Systems Manager Automation. Para realizar tareas de Systems Manager en los grupos de recursos, debe tener permisos de Systems Manager asociados a su política (como, por ejemplo,ssm:*). Para obtener más información acerca de la concesión de acceso a Systems Manager, consulteConfiguración del acceso a Systems Manageren laAWS Systems ManagerGuía del usuario de.

  8. Elija Review policy (Revisar política).

  9. Asigne un nombre y una descripción a la política nueva. (por ejemplo, AWSResourceGroupsQueryAPIAccess).

  10. Elija Create Policy (Crear política).

  11. Ahora que la política está guardada en IAM, puede asociarla a otros usuarios. Para obtener más información acerca de cómo añadir una política a un usuario, consulteAgregar permisos asociando políticas directamente al usuarioen laIAM User Guide.

Más información sobreAWS Resource Groupsautorización y control de acceso

Los Resource Groups admiten lo siguiente.

  • Políticas basadas en acciones. Por ejemplo, puede crear una política que permita a los usuarios realizarListGroupsoperaciones, pero no otras.

  • Permisos de nivel de recursos. Resource Groups admite el usoARN depara especificar recursos individuales en la política.

  • Autorización basada en etiquetas. Resource Groups admite el usoetiquetas de recursosen la condición de una póliza. Por ejemplo, puede crear una política que permita a los usuarios de Resource Groups de acceso completo a un grupo que haya etiquetado.

  • Credenciales temporales. Los usuarios pueden asumir un rol con una política que permita operaciones de AWS Resource Groups.

Los Resource Groups no admiten políticas basadas en recursos.

Los Resource Groups no utilizan roles vinculados a servicios.

Para obtener más información sobre cómo se integran los Resource Groups y Tag Editor conAWS Identity and Access Management(IAM), consulte los siguientes temas en laAWS Identity and Access ManagementGuía del usuario de.