Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration d'autorisations
Pour exploiter pleinement les groupes de ressources et Tag Editor, vous pouvez avoir besoin d'autorisations supplémentaires pour baliser les ressources ou pour consulter les valeurs et les clés de balise d'une ressource. Ces autorisations de lancement sont réparties en plusieurs catégories :
-
Les autorisations pour les services individuels, afin de pouvoir baliser des ressources à partir de ces services et les inclure dans des groupes de ressources.
-
Autorisations requises pour utiliser la console Tag Editor
-
Autorisations requises pour utiliser le AWS Resource Groups console etAPI.
Si vous êtes administrateur, vous pouvez accorder des autorisations à vos utilisateurs en créant des politiques via le AWS Identity and Access Management (IAM) service. Vous devez d'abord créer vos principes, tels que les IAM rôles ou les utilisateurs, ou associer des identités externes à votre AWS environnement utilisant un service tel que AWS IAM Identity Center. Vous appliquez ensuite des politiques avec les autorisations dont vos utilisateurs ont besoin. Pour plus d'informations sur la création et IAM l'attachement de politiques, consultez la section Utilisation des politiques.
Autorisations pour des services individuels
Important
Cette section décrit les autorisations requises si vous souhaitez étiqueter des ressources provenant d'autres consoles de service et APIs ajouter ces ressources à des groupes de ressources.
Comme décrit dans Les ressources et leurs types de groupes, chaque groupe de ressources représente un ensemble de ressources de types spécifiés qui partagent une ou plusieurs valeurs ou clés de balise. Pour ajouter des balises à une ressource, vous devez disposer des autorisations nécessaires pour le service auquel appartient la ressource. Par exemple, pour étiqueter des EC2 instances Amazon, vous devez être autorisé à effectuer les actions de balisage dans le cadre de ces servicesAPI, telles que celles répertoriées dans le guide de l'EC2utilisateur Amazon.
Pour utiliser pleinement la fonction Groupes de ressources, vous avez besoin d'autres autorisations qui vous permettent d'accéder à la console d'un service, où vous pourrez interagir avec les ressources. Pour des exemples de telles politiques pour AmazonEC2, consultez la section Exemples de politiques pour travailler dans la EC2 console Amazon dans le guide de EC2 l'utilisateur Amazon.
Autorisations requises pour Resource Groups et Tag Editor
Pour utiliser Resource Groups et Tag Editor, les autorisations suivantes doivent être ajoutées à la déclaration de politique d'un utilisateur dansIAM. Vous pouvez ajouter soit AWS-politiques gérées qui sont maintenues et conservées up-to-date par AWS, ou vous pouvez créer et gérer votre propre politique personnalisée.
Utilisation AWS politiques gérées pour les autorisations Resource Groups et Tag Editor
AWS Resource Groups et Tag Editor prennent en charge les éléments suivants AWS des politiques gérées que vous pouvez utiliser pour fournir un ensemble prédéfini d'autorisations à vos utilisateurs. Vous pouvez associer ces politiques gérées à n'importe quel utilisateur, rôle ou groupe comme vous le feriez pour toute autre politique que vous créez.
- ResourceGroupsandTagEditorReadOnlyAccess
-
Cette politique accorde au IAM rôle ou à l'utilisateur attaché l'autorisation d'appeler les opérations en lecture seule pour Resource Groups et Tag Editor. Pour lire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).
- ResourceGroupsandTagEditorFullAccess
-
Cette politique accorde au IAM rôle ou à l'utilisateur attaché l'autorisation d'appeler n'importe quelle opération Resource Groups et les opérations de lecture et d'écriture de balises dans Tag Editor. Pour lire ou écrire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).
Important
Les deux politiques précédentes accordent l'autorisation d'appeler les opérations Resource Groups et Tag Editor et d'utiliser ces consoles. Pour les opérations Resource Groups, ces politiques sont suffisantes et accordent toutes les autorisations nécessaires pour utiliser n'importe quelle ressource dans la console Resource Groups.
Toutefois, pour les opérations de balisage et la console Tag Editor, les autorisations sont plus détaillées. Vous devez disposer des autorisations non seulement pour invoquer l'opération, mais également des autorisations appropriées pour la ressource spécifique dont vous essayez d'accéder aux balises. Pour accorder cet accès aux balises, vous devez également joindre l'une des politiques suivantes :
-
Le AWS-managed policy ReadOnlyAccess
accorde des autorisations aux opérations en lecture seule pour les ressources de chaque service. AWS tient automatiquement cette politique à jour avec les nouvelles AWS services dès qu'ils sont disponibles. -
De nombreux services fournissent un service en lecture seule spécifique au service AWS-des politiques gérées que vous pouvez utiliser pour limiter l'accès aux seules ressources fournies par ce service. Par exemple, Amazon EC2 fournit Amazon EC2ReadOnlyAccess
. -
Vous pouvez créer votre propre politique qui n'accorde l'accès qu'à des opérations de lecture seule très spécifiques pour les quelques services et ressources auxquels vous souhaitez que vos utilisateurs accèdent. Cette politique utilise soit une stratégie de « liste d'autorisation », soit une stratégie de liste de refus.
Une stratégie de liste d'autorisation tire parti du fait que l'accès est refusé par défaut tant que vous ne l'autorisez pas explicitement dans une politique. Vous pouvez donc utiliser une politique comme dans l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }Vous pouvez également utiliser une stratégie de « liste de refus » qui autorise l'accès à toutes les ressources, à l'exception de celles que vous bloquez explicitement.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }
Ajouter manuellement les autorisations Resource Groups et Tag Editor
-
resource-groups:*(Cette autorisation autorise toutes les actions Resource Groups. Si vous souhaitez plutôt restreindre les actions accessibles à un utilisateur, vous pouvez remplacer l'astérisque par une action Resource Groups spécifique (ou par une liste d'actions séparées par des virgules). -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
tag:GetResources -
tag:TagResources -
tag:UntagResources -
tag:getTagKeys -
tag:getTagValues -
resource-explorer:*
Note
L'resource-groups:SearchResourcesautorisation permet à Tag Editor de répertorier les ressources lorsque vous filtrez votre recherche à l'aide de clés ou de valeurs de balise.
L'resource-explorer:ListResourcesautorisation permet à l'éditeur de balises de répertorier les ressources lorsque vous recherchez des ressources sans définir de balises de recherche.
Pour utiliser Resource Groups et Tag Editor dans la console, vous devez également être autorisé à exécuter l'resource-groups:ListGroupResourcesaction. Cette autorisation est nécessaire pour répertorier les types de ressources disponibles dans la région actuelle. L'utilisation de conditions de politique avec n'resource-groups:ListGroupResourcesest actuellement pas prise en charge.
