Requisitos previos para trabajar con AWS Resource Groups - AWS Resource Groups
Inscríbase en AWSCrear recursos de Configuración de permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para trabajar con AWS Resource Groups

Antes de comenzar a trabajar con los grupos de recursos, asegúrese de que tiene una cuenta de AWS activa que disponga de recursos y de los derechos necesarios para etiquetar recursos y crear grupos.

Inscríbase en AWS

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

Para suscribirte a una Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Cuando te registras en una Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea una. El usuario raíz tiene acceso a todos los recursos y Servicios de AWS de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar la ejecución de tareas que requieren acceso de usuario raíz.

Crear recursos de

Puede crear un grupo de recursos vacío, pero no podrá realizar ninguna tarea con los miembros del grupo de recursos hasta que haya recursos en él. Para obtener más información sobre los tipos de recursos admitidos, consulte Tipos de recursos que puede usar con un AWS Resource Groups editor de etiquetas.

Configuración de permisos

Para hacer pleno uso de Resource Groups y Tag Editor, es posible que necesite más permisos para etiquetar recursos o para las claves de etiquetas y los valores de un recurso. Estos permisos se dividen en las categorías siguientes:

  • Los permisos para los servicios individuales, para que pueda etiquetar los recursos de dichos servicios e incluirlos en los grupos de recursos.

  • Los permisos necesarios para usar la consola de Tag Editor

  • Permisos necesarios para usar la AWS Resource Groups consola y la API.

Si es administrador, puede proporcionar permisos a sus usuarios mediante la creación de políticas a través del servicio AWS Identity and Access Management (IAM). Primero debe crear sus principios, como las funciones o los usuarios de IAM, o bien asociar identidades externas a su AWS entorno mediante un servicio como. AWS IAM Identity CenterA continuación, aplique las políticas con los permisos que necesitan los usuarios. Para obtener información acerca de cómo crear y asociar políticas de IAM;, consulte Uso de las políticas.

Permisos para servicios individuales

importante

En esta sección, se describen los permisos que son necesarios para etiquetar recursos desde las API y las consolas de otros servicios, y para añadir dichos recursos a grupos de recursos.

Como se describe en ¿Qué son los grupos de recursos?, cada grupo de recursos representa un conjunto de recursos de los tipos especificados que comparten una o varias claves de etiquetas o valores. Para añadir etiquetas a un recurso, debe tener los permisos necesarios para el servicio al que pertenece el recurso. Por ejemplo, para etiquetar instancias de Amazon EC2, debe tener permisos para las acciones de etiquetado en la API de dicho servicio, como los que se muestran en la Guía del usuario de Amazon EC2.

Para utilizar plenamente la característica de grupos de recursos, necesita otros permisos que le permitan tener acceso a la consola de un servicio e interactuar con los recursos disponibles en ella. Para obtener ejemplos de tales políticas para Amazon EC2, consulte Políticas de ejemplo para trabajar en la Consola Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias Linux.

Permisos obligatorios para Resource Groups y Tag Editor

Para utilizar Resource Groups y Tag Editor, se deben añadir los siguientes permisos a la instrucción de política del usuario en IAM. Puede añadir políticas AWSgestionadas que sean mantenidas y up-to-date guardadas AWS, o bien puede crear y mantener su propia política personalizada.

Uso de políticas AWS administradas para los permisos de Resource Groups y Tag Editor

AWS Resource Groups y Tag Editor admiten las siguientes políticas AWS administradas que puedes usar para proporcionar un conjunto predefinido de permisos a tus usuarios. Puede adjuntar estas políticas administradas a cualquier usuario, rol o grupo del mismo modo que lo haría con cualquier otra política que cree.

ResourceGroupsandTagEditorReadOnlyAccess

Esta política concede al rol de IAM o al usuario adjunto permiso para llamar a las operaciones de solo lectura de Resource Groups y Tag Editor. Para leer las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).

ResourceGroupsandTagEditorFullAccess

Esta política concede al rol de IAM o usuario adjunto permiso para llamar a cualquier operación de Resource Groups y a las operaciones de lectura y escritura de etiquetas en Tag Editor. Para leer o escribir las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).

importante

Las dos políticas anteriores conceden permiso para llamar a las operaciones Resource Groups y Tag Editor y usar esas consolas. Para las operaciones de Resource Groups, estas políticas son suficientes y otorgan todos los permisos necesarios para trabajar con cualquier recurso de la consola de Resource Groups.

Sin embargo, para las operaciones de etiquetado y la consola de Tag Editor, los permisos son más detallados. Debe tener los permisos no solo para invocar la operación, sino también los permisos adecuados para el recurso específico a cuyas etiquetas está intentando acceder. En función del tipo de operaciones, puede asociar una de estas políticas:

  • La política AWSgestionada ReadOnlyAccessconcede permisos a las operaciones de solo lectura para los recursos de cada servicio. AWS actualiza automáticamente esta política con los nuevos AWS servicios a medida que están disponibles.

  • Muchos servicios proporcionan políticas AWSadministradas de solo lectura específicas para cada servicio que puede utilizar para limitar el acceso únicamente a los recursos proporcionados por ese servicio. Por ejemplo, Amazon EC2 proporciona AmazonEC2. ReadOnlyAccess

  • Podría crear su propia política que conceda acceso únicamente a las operaciones de solo lectura muy específicas para los pocos servicios y recursos a los que desea que accedan sus usuarios. Esta política utiliza una estrategia de “lista de permitidos” o una estrategia de lista de rechazados.

    Una estrategia de lista de permitidos aprovecha el hecho de que el acceso está denegado de forma predeterminada hasta que se permita explícitamente en una política. Por lo tanto, puede utilizar una política como la del siguiente ejemplo:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    Como alternativa, puede utilizar una estrategia de “lista de denegados” que permita el acceso a todos los recursos excepto a aquellos que bloquee de forma explícita.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Añadir manualmente los permisos de Resource Groups y Tag Editor

  • resource-groups:* (Este permiso permite todas las acciones de Resource Groups. Si, por el contrario, desea restringir las acciones que están disponibles para un usuario, puede sustituir el asterisco por una acción específica de Resource Groups o por una lista de acciones separadas por comas)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

nota

El resource-groups:SearchResources permiso permite a Tag Editor enumerar los recursos al filtrar la búsqueda mediante claves o valores de etiquetas.

El resource-explorer:ListResources permiso permite a Tag Editor enumerar los recursos cuando se buscan recursos sin definir las etiquetas de búsqueda.

Para usar Resource Groups y Tag Editor en la consola, también necesita permiso para ejecutar la acción resource-groups:ListGroupResources. Este permiso es necesario para mostrar los tipos de recursos disponibles en la región actual. Por el momento, no se admite el uso de condiciones de política con resource-groups:ListGroupResources.

Otorgar permisos para usar AWS Resource Groups un editor de etiquetas

Para añadir una política de uso AWS Resource Groups de un editor de etiquetas a un usuario, haga lo siguiente.

  1. Abra la consola de IAM.

  2. En el panel de navegación, seleccione Usuarios.

  3. Busca el usuario al que quieres conceder los permisos AWS Resource Groups de Tag Editor. Elija el nombre del usuario para abrir la página de propiedades del usuario.

  4. Elija Añadir permisos.

  5. Elija Adjuntar directamente políticas existentes.

  6. Elija Crear política.

  7. En la pestaña JSON, pegue la instrucción de política siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta instrucción de política de ejemplo únicamente concede permisos para las acciones de AWS Resource Groups y Tag Editor. No permite el acceso a AWS Systems Manager las tareas de la AWS Resource Groups consola. Por ejemplo, esta política no concede permiso para utilizar los comandos de Systems Manager Automation. Para realizar tareas de Systems Manager con los grupos de recursos, debe tener permisos de Systems Manager asociados a su política (como, por ejemplo, ssm:*). Para obtener más información acerca de la concesión de acceso a Systems Manager, consulte Configuración del acceso a Systems Manager en la Guía del usuario deAWS Systems Manager .

  8. Elija Revisar política.

  9. Asigne un nombre y una descripción a la política nueva. (por ejemplo, AWSResourceGroupsQueryAPIAccess).

  10. Seleccione Crear política.

  11. Ahora que la política está guardada en IAM, puede asociarla a otros usuarios. Para obtener más información sobre cómo añadir una política a un usuario, consulte Agregar permisos asociando políticas directamente al usuario en la Guía del usuario de IAM.

Más información sobre la AWS Resource Groups autorización y el control de acceso

Resource Groups admite lo siguiente.

  • Políticas basadas en acciones. Por ejemplo, puede crear una política que permita a los usuarios realizar operaciones ListGroups, pero no otras.

  • Permisos de nivel de recursos. Permisos de nivel de recursos utilizando ARN para especificar recursos individuales en la política.

  • Autorización basada en etiquetas. Resource Groups admite el uso de etiquetas de recursos en el estado de una política. Por ejemplo, puede crear una política que permita a los usuarios de Resource Groups el acceso completo a un grupo que haya etiquetado.

  • Credenciales temporales. Los usuarios pueden asumir un rol con una política que permita AWS Resource Groups las operaciones.

Resource Groups no admite políticas basadas en recursos.

Resource Groups no utiliza ningún rol vinculado a servicios.

Para obtener más información sobre cómo Resource Groups y Tag Editor se integran con AWS Identity and Access Management (IAM), consulte los siguientes temas de la Guía delAWS Identity and Access Management usuario.