

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conditions préalables pour travailler avec Groupes de ressources AWS
<a name="gettingstarted-prereqs"></a>

Avant de commencer à travailler avec les groupes de ressources, veillez à disposer d'un compte AWS actif avec les ressources existantes et les droits appropriés pour baliser des ressources et créer des groupes.

**Topics**
+ [Inscrivez-vous pour AWS](#gettingstarted-prereqs-signup)
+ [Créer des ressources](#gettingstarted-prereqs-create)
+ [Configuration d’autorisations](gettingstarted-prereqs-permissions.md)

## Inscrivez-vous pour AWS
<a name="gettingstarted-prereqs-signup"></a>

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

**Pour vous inscrire à un Compte AWS**

1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)

1. Suivez les instructions en ligne.

   Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

## Créer des ressources
<a name="gettingstarted-prereqs-create"></a>

Vous pouvez créer un groupe de ressources vide, mais vous ne pourrez effectuer aucune tâche sur les membres du groupe de ressources tant qu'il n'y aura pas de ressources dans le groupe. Pour plus d'informations sur les types de ressources pris en charge, consultez [Types de ressources que vous pouvez utiliser avec Groupes de ressources AWS l'éditeur de balises](supported-resources.md).

# Configuration d’autorisations
<a name="gettingstarted-prereqs-permissions"></a>


Pour exploiter pleinement les groupes de ressources et Tag Editor, vous pouvez avoir besoin d'autorisations supplémentaires pour baliser les ressources ou pour consulter les valeurs et les clés de balise d'une ressource. Ces autorisations de lancement sont réparties en plusieurs catégories : 
+ Les autorisations pour les services individuels, afin de pouvoir baliser des ressources à partir de ces services et les inclure dans des groupes de ressources.
+ Autorisations requises pour utiliser la console Tag Editor
+ Autorisations requises pour utiliser la Groupes de ressources AWS console et l'API. 

Si vous êtes administrateur, vous pouvez fournir des autorisations à vos utilisateurs en créant des politiques via le service Gestion des identités et des accès AWS (IAM). Vous devez d'abord créer vos principaux, tels que les rôles ou les utilisateurs IAM, ou associer des identités externes à votre AWS environnement à l'aide d'un service tel que. AWS IAM Identity Center Vous appliquez ensuite des politiques avec les autorisations dont vos utilisateurs ont besoin. Pour plus d'informations sur la création et l'attachement de politiques IAM, consultez la section [Utilisation des politiques](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).

## Autorisations pour des services individuels
<a name="rg-perms-individual-services"></a>

**Important**  
Cette section décrit les autorisations requises si vous souhaitez étiqueter des ressources provenant d'autres consoles de service et APIs ajouter ces ressources à des groupes de ressources.

Comme décrit dans [Les ressources et leurs types de groupes](resource-groups.md#resource-groups-intro), chaque groupe de ressources représente un ensemble de ressources de types spécifiés qui partagent une ou plusieurs valeurs ou clés de balise. Pour ajouter des balises à une ressource, vous devez disposer des autorisations nécessaires pour le service auquel appartient la ressource. Par exemple, pour baliser des instances Amazon EC2, vous devez être autorisé à effectuer les actions de balisage dans l'API de ce service, telles que celles répertoriées dans le guide de l'utilisateur [Amazon](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI) EC2.

Pour utiliser pleinement la fonction Groupes de ressources, vous avez besoin d'autres autorisations qui vous permettent d'accéder à la console d'un service, où vous pourrez interagir avec les ressources. Pour des exemples de telles politiques pour Amazon EC2, consultez la section [Exemples de politiques pour travailler dans la console Amazon EC2 dans le](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) guide de l'utilisateur Amazon *EC2*.

## Autorisations requises pour Resource Groups et Tag Editor
<a name="gettingstarted-prereqs-permissions-te"></a>

Pour utiliser Resource Groups et Tag Editor, les autorisations suivantes doivent être ajoutées à la déclaration de politique d'un utilisateur dans IAM. Vous pouvez soit ajouter des politiques AWS gérées qui sont maintenues et conservées up-to-date par AWS, soit créer et gérer votre propre politique personnalisée.

### Utilisation de politiques AWS gérées pour les autorisations Resource Groups et Tag Editor
<a name="prereqs-permissions-managedpolicies"></a>

Groupes de ressources AWS et Tag Editor prennent en charge les politiques AWS gérées suivantes que vous pouvez utiliser pour fournir un ensemble prédéfini d'autorisations à vos utilisateurs. Vous pouvez associer ces politiques gérées à n'importe quel utilisateur, rôle ou groupe comme vous le feriez pour toute autre politique que vous créez.

**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
Cette politique accorde au rôle IAM ou à l'utilisateur associé l'autorisation d'appeler les opérations en lecture seule pour Resource Groups et Tag Editor. Pour lire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).

**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
Cette politique accorde au rôle IAM ou à l'utilisateur attaché l'autorisation d'appeler n'importe quelle opération Resource Groups et les opérations de lecture et d'écriture de balises dans Tag Editor. Pour lire ou écrire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).

**Important**  
Les deux politiques précédentes accordent l'autorisation d'appeler les opérations Resource Groups et Tag Editor et d'utiliser ces consoles. Pour les opérations Resource Groups, ces politiques sont suffisantes et accordent toutes les autorisations nécessaires pour utiliser n'importe quelle ressource dans la console Resource Groups.   
Toutefois, pour les opérations de balisage et la console Tag Editor, les autorisations sont plus détaillées. Vous devez disposer des autorisations non seulement pour invoquer l'opération, mais également des autorisations appropriées pour la ressource spécifique dont vous essayez d'accéder aux balises. Pour accorder cet accès aux balises, vous devez également joindre l'une des politiques suivantes :  
La politique AWS-managed [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)accorde des autorisations aux opérations en lecture seule pour les ressources de chaque service. AWS tient automatiquement cette politique à jour avec les nouveaux AWS services dès qu'ils sont disponibles.
De nombreux services fournissent des politiques AWS gérées en lecture seule spécifiques à un service que vous pouvez utiliser pour limiter l'accès aux seules ressources fournies par ce service. [Par exemple, Amazon EC2 fournit Amazon. EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Vous pouvez créer votre propre politique qui n'accorde l'accès qu'à des opérations de lecture seule très spécifiques pour les quelques services et ressources auxquels vous souhaitez que vos utilisateurs accèdent. Cette politique utilise soit une stratégie de « liste d'autorisation », soit une stratégie de liste de refus.  
Une stratégie de liste d'autorisation tire parti du fait que l'accès est refusé par défaut tant que vous ***ne l'autorisez pas explicitement*** dans une politique. Vous pouvez donc utiliser une politique comme dans l'exemple suivant :  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "resource-groups:*" ],
              "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
          }
      ]
  }
  ```
Vous pouvez également utiliser une stratégie de « liste de refus » qui autorise l'accès à toutes les ressources, à l'exception de celles que vous bloquez explicitement.  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
               "Action": [ "resource-groups:*" ],
              "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
          }
      ]
  }
  ```

### Ajouter manuellement les autorisations Resource Groups et Tag Editor
<a name="prereqs-permissions-manualadd"></a>
+ `resource-groups:*`(Cette autorisation autorise toutes les actions Resource Groups. Si vous souhaitez plutôt restreindre les actions accessibles à un utilisateur, vous pouvez remplacer l'astérisque par une [action Resource Groups spécifique](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) (ou par une liste d'actions séparées par des virgules)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`

**Note**  
L'`resource-groups:SearchResources`autorisation permet à Tag Editor de répertorier les ressources lorsque vous filtrez votre recherche à l'aide de clés ou de valeurs de balise.   
L'`resource-explorer:ListResources`autorisation permet à l'éditeur de balises de répertorier les ressources lorsque vous recherchez des ressources sans définir de balises de recherche. 

Pour utiliser Resource Groups et Tag Editor dans la console, vous devez également être autorisé à exécuter l'`resource-groups:ListGroupResources`action. Cette autorisation est nécessaire pour répertorier les types de ressources disponibles dans la région actuelle. L'utilisation de conditions de politique avec n'`resource-groups:ListGroupResources`est actuellement pas prise en charge.

# Octroi d'autorisations pour l'utilisation Groupes de ressources AWS de l'éditeur de balises
<a name="gettingstarted-prereqs-permissions-howto"></a>

Pour ajouter une politique d'utilisation Groupes de ressources AWS d'un éditeur de balises à un utilisateur, procédez comme suit.

1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam).

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Recherchez l'utilisateur à qui vous souhaitez accorder des autorisations Groupes de ressources AWS ainsi que l'éditeur de balises. Choisissez le nom d'utilisateur pour ouvrir la page des propriétés de l'utilisateur.

1. Choisissez **Ajouter des autorisations**.

1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.

1. Choisissez **Create Policy** (Créer une politique).

1. Dans l'onglet **JSON**, collez la déclaration de stratégie suivante.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "resource-groups:*",
           "cloudformation:DescribeStacks",
           "cloudformation:ListStackResources",
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**Note**  
Cet exemple de déclaration de politique accorde des autorisations uniquement pour les actions Groupes de ressources AWS et les actions de l'éditeur de balises. Il n'autorise pas l'accès aux AWS Systems Manager tâches de la Groupes de ressources AWS console. Par exemple, cette politique ne vous autorise pas à utiliser les commandes d'automatisation de Systems Manager. Pour exécuter des tâches de Systems Manager sur des groupes de ressources, vous devez disposer des autorisations Systems Manager associées à votre politique (par exemple`ssm:*`). Pour plus d'informations sur l'octroi de l'accès à Systems Manager, consultez [la section Configuration de l'accès à Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) dans le *Guide de AWS Systems Manager l'utilisateur*.

1. Choisissez **Examiner une politique**.

1. Donnez à la nouvelle stratégie un nom et une description (par exemple, `AWSResourceGroupsQueryAPIAccess`).

1. Choisissez **Create Policy** (Créer une politique).

1. Maintenant que la politique est enregistrée dans IAM, vous pouvez l'associer à d'autres utilisateurs. Pour plus d'informations sur la façon d'ajouter une politique à un utilisateur, consultez la section [Ajouter des autorisations en attachant des politiques directement à l'utilisateur](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy) dans le *guide de l'utilisateur IAM*.