Conditions préalables pour travailler avec AWS Resource Groups - AWS Resource Groups
Inscrivez-vous pour AWSCréer des ressources Configuration d'autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables pour travailler avec AWS Resource Groups

Avant de commencer à travailler avec les groupes de ressources, veillez à disposer d'un compte AWS actif avec les ressources existantes et les droits appropriés pour baliser des ressources et créer des groupes.

Inscrivez-vous pour AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des AWS services et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.

Créer des ressources

Vous pouvez créer un groupe de ressources vide, mais vous ne pourrez effectuer aucune tâche sur les membres du groupe de ressources tant qu'il n'y aura pas de ressources dans le groupe. Pour plus d'informations sur les types de ressources pris en charge, consultez Types de ressources que vous pouvez utiliser avec AWS Resource Groups l'éditeur de balises.

Configuration d'autorisations

Pour exploiter pleinement les groupes de ressources et Tag Editor, vous pouvez avoir besoin d'autorisations supplémentaires pour baliser les ressources ou pour consulter les valeurs et les clés de balise d'une ressource. Ces autorisations de lancement sont réparties en plusieurs catégories :

  • Les autorisations pour les services individuels, afin de pouvoir baliser des ressources à partir de ces services et les inclure dans des groupes de ressources.

  • Autorisations requises pour utiliser la console Tag Editor

  • Autorisations requises pour utiliser la AWS Resource Groups console et l'API.

Si vous êtes administrateur, vous pouvez fournir des autorisations à vos utilisateurs en créant des politiques via le service AWS Identity and Access Management (IAM). Vous devez d'abord créer vos principaux, tels que les rôles ou les utilisateurs IAM, ou associer des identités externes à votre AWS environnement à l'aide d'un service tel que. AWS IAM Identity Center Vous appliquez ensuite des politiques avec les autorisations dont vos utilisateurs ont besoin. Pour plus d'informations sur la création et l'attachement de politiques IAM, consultez la section Utilisation des politiques.

Autorisations pour des services individuels

Important

Cette section décrit les autorisations nécessaires si vous souhaitez baliser des ressources à partir d'autres consoles de service et d'API, et les ajouter aux groupes de ressources.

Comme décrit dans Que sont les groupes de ressources ?, chaque groupe de ressources représente un ensemble de ressources de types spécifiés qui partagent une ou plusieurs valeurs ou clés de balise. Pour ajouter des balises à une ressource, vous devez disposer des autorisations nécessaires pour le service auquel appartient la ressource. Par exemple, pour baliser des instances Amazon EC2, vous devez être autorisé à effectuer les actions de balisage dans l'API de ce service, telles que celles répertoriées dans le guide de l'utilisateur Amazon EC2.

Pour utiliser pleinement la fonction Groupes de ressources, vous avez besoin d'autres autorisations qui vous permettent d'accéder à la console d'un service, où vous pourrez interagir avec les ressources. Pour des exemples de telles politiques pour Amazon EC2, consultez la section Exemples de politiques pour travailler dans la console Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

Autorisations requises pour Resource Groups et Tag Editor

Pour utiliser Resource Groups et Tag Editor, les autorisations suivantes doivent être ajoutées à la déclaration de politique d'un utilisateur dans IAM. Vous pouvez soit ajouter des politiques AWS gérées qui sont maintenues et conservées up-to-date par AWS, soit créer et gérer votre propre politique personnalisée.

Utilisation de politiques AWS gérées pour les autorisations Resource Groups et Tag Editor

AWS Resource Groups et Tag Editor prennent en charge les politiques AWS gérées suivantes que vous pouvez utiliser pour fournir un ensemble prédéfini d'autorisations à vos utilisateurs. Vous pouvez associer ces politiques gérées à n'importe quel utilisateur, rôle ou groupe comme vous le feriez pour toute autre politique que vous créez.

ResourceGroupsandTagEditorReadOnlyAccess

Cette politique accorde au rôle IAM ou à l'utilisateur associé l'autorisation d'appeler les opérations en lecture seule pour Resource Groups et Tag Editor. Pour lire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).

ResourceGroupsandTagEditorFullAccess

Cette politique accorde au rôle IAM ou à l'utilisateur attaché l'autorisation d'appeler n'importe quelle opération Resource Groups et les opérations de lecture et d'écriture de balises dans Tag Editor. Pour lire ou écrire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).

Important

Les deux politiques précédentes accordent l'autorisation d'appeler les opérations Resource Groups et Tag Editor et d'utiliser ces consoles. Pour les opérations Resource Groups, ces politiques sont suffisantes et accordent toutes les autorisations nécessaires pour utiliser n'importe quelle ressource dans la console Resource Groups.

Toutefois, pour les opérations de balisage et la console Tag Editor, les autorisations sont plus détaillées. Vous devez disposer des autorisations non seulement pour invoquer l'opération, mais également des autorisations appropriées pour la ressource spécifique dont vous essayez d'accéder aux balises. Pour accorder cet accès aux balises, vous devez également joindre l'une des politiques suivantes :

  • La politique AWS-managed ReadOnlyAccessaccorde des autorisations aux opérations en lecture seule pour les ressources de chaque service. AWS tient automatiquement cette politique à jour avec les nouveaux AWS services dès qu'ils sont disponibles.

  • De nombreux services fournissent des politiques AWS gérées en lecture seule spécifiques à un service que vous pouvez utiliser pour limiter l'accès aux seules ressources fournies par ce service. Par exemple, Amazon EC2 fournit AmazonEC2. ReadOnlyAccess

  • Vous pouvez créer votre propre politique qui n'accorde l'accès qu'à des opérations de lecture seule très spécifiques pour les quelques services et ressources auxquels vous souhaitez que vos utilisateurs accèdent. Cette politique utilise soit une stratégie de « liste d'autorisation », soit une stratégie de liste de refus.

    Une stratégie de liste d'autorisation tire parti du fait que l'accès est refusé par défaut tant que vous ne l'autorisez pas explicitement dans une politique. Vous pouvez donc utiliser une politique comme dans l'exemple suivant :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    Vous pouvez également utiliser une stratégie de « liste de refus » qui autorise l'accès à toutes les ressources, à l'exception de celles que vous bloquez explicitement.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Ajouter manuellement les autorisations Resource Groups et Tag Editor

  • resource-groups:*(Cette autorisation autorise toutes les actions Resource Groups. Si vous souhaitez plutôt restreindre les actions accessibles à un utilisateur, vous pouvez remplacer l'astérisque par une action Resource Groups spécifique (ou par une liste d'actions séparées par des virgules)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

Note

L'resource-groups:SearchResourcesautorisation permet à Tag Editor de répertorier les ressources lorsque vous filtrez votre recherche à l'aide de clés ou de valeurs de balise.

L'resource-explorer:ListResourcesautorisation permet à l'éditeur de balises de répertorier les ressources lorsque vous recherchez des ressources sans définir de balises de recherche.

Pour utiliser Resource Groups et Tag Editor dans la console, vous devez également être autorisé à exécuter l'resource-groups:ListGroupResourcesaction. Cette autorisation est nécessaire pour répertorier les types de ressources disponibles dans la région actuelle. L'utilisation de conditions de politique avec n'resource-groups:ListGroupResourcesest actuellement pas prise en charge.

Octroi d'autorisations pour l'utilisation AWS Resource Groups de l'éditeur de balises

Pour ajouter une politique d'utilisation AWS Resource Groups d'un éditeur de balises à un utilisateur, procédez comme suit.

  1. Ouvrez la console IAM.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Recherchez l'utilisateur à qui vous souhaitez accorder des autorisations AWS Resource Groups ainsi que l'éditeur de balises. Choisissez le nom d'utilisateur pour ouvrir la page des propriétés de l'utilisateur.

  4. Choisissez Ajouter des autorisations.

  5. Choisissez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Choisissez Créer une politique.

  7. Dans l'onglet JSON, collez la déclaration de stratégie suivante.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    Note

    Cet exemple de déclaration de politique accorde des autorisations uniquement pour les actions AWS Resource Groups et les actions de l'éditeur de balises. Il n'autorise pas l'accès aux AWS Systems Manager tâches de la AWS Resource Groups console. Par exemple, cette politique ne vous autorise pas à utiliser les commandes d'automatisation de Systems Manager. Pour exécuter des tâches de Systems Manager sur des groupes de ressources, vous devez disposer des autorisations Systems Manager associées à votre politique (par exemplessm:*). Pour plus d'informations sur l'octroi de l'accès à Systems Manager, consultez la section Configuration de l'accès à Systems Manager dans le Guide de AWS Systems Manager l'utilisateur.

  8. Choisissez Examiner une politique.

  9. Donnez à la nouvelle stratégie un nom et une description (par exemple, AWSResourceGroupsQueryAPIAccess).

  10. Choisissez Créer une politique.

  11. Maintenant que la politique est enregistrée dans IAM, vous pouvez l'associer à d'autres utilisateurs. Pour plus d'informations sur la façon d'ajouter une politique à un utilisateur, consultez la section Ajouter des autorisations en attachant des politiques directement à l'utilisateur dans le guide de l'utilisateur IAM.

En savoir plus sur AWS Resource Groups l'autorisation et le contrôle d'accès

Resource Groups prend en charge les solutions suivantes.

  • Stratégies basées sur une action. Par exemple, vous pouvez créer une politique qui autorise les utilisateurs à effectuer des ListGroupsopérations, mais pas d'autres.

  • Autorisations au niveau des ressources. Resource Groups prend en charge l'utilisation des ARN pour spécifier des ressources individuelles dans la politique.

  • Autorisation basée sur des tags. Resource Groups prend en charge l'utilisation de balises de ressources dans le cadre d'une politique. Par exemple, vous pouvez créer une politique qui permet aux utilisateurs de Resource Groups d'accéder pleinement à un groupe que vous avez balisé.

  • Informations d’identification temporaires. Les utilisateurs peuvent assumer un rôle dans le cadre d'une politique autorisant les AWS Resource Groups opérations.

Resource Groups ne prend pas en charge les politiques basées sur les ressources.

Resource Groups n'utilise aucun rôle lié à un service.

Pour plus d'informations sur la manière dont Resource Groups et Tag Editor s'intègrent à AWS Identity and Access Management (IAM), consultez les rubriques suivantes du guide de l'AWS Identity and Access Management utilisateur.