Prasyarat untuk bekerja denganAWS Resource Groups - AWS Resource Groups

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk bekerja denganAWS Resource Groups

Sebelum Anda mulai bekerja dengan grup sumber daya, pastikan Anda memilikiAWS akun aktif dengan sumber daya yang ada dan hak yang sesuai untuk menandai sumber daya dan membuat grup.

Daftar untuk AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah berikut untuk membuatnya.

Untuk mendaftar ke Akun AWS
  1. Buka https://portal.aws.amazon.com/billing/signup.

  2. Ikuti petunjuk online.

    Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon dan memasukkan kode verifikasi di keypad telepon.

    Ketika Anda mendaftar untukAkun AWS, penggunaAkun AWS root dibuat. Pengguna root memiliki akses ke semuaLayanan AWS dan sumber daya di akun. Sebagai praktik terbaik keamanan, tetapkan akses administratif ke pengguna administratif, dan gunakan hanya pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

Buat sumber daya

Anda dapat membuat grup sumber daya kosong, tetapi tidak akan dapat melakukan tugas apa pun pada anggota grup sumber daya hingga ada sumber daya dalam grup. Untuk informasi selengkapnya tentang jenis sumber daya yang didukung, lihatJenis sumber daya yang dapat Anda gunakan denganAWS Resource Groups dan Editor Tag.

Menyiapkan izin

Untuk memanfaatkan sepenuhnya Resource Groups dan Editor Tag, Anda mungkin memerlukan izin tambahan untuk menandai sumber daya atau untuk melihat kunci dan nilai tag sumber daya. Izin ini termasuk ke dalam kategori berikut:

  • Izin untuk layanan individual sehingga Anda dapat menandai sumber daya dari layanan tersebut dan memasukkannya ke dalam grup sumber daya.

  • Izin yang diperlukan untuk menggunakan konsol Editor Tag

  • Izin yang diperlukan untuk menggunakanAWS Resource Groups konsol dan API.

Jika Anda seorang administrator, Anda dapat memberikan izin untuk pengguna Anda dengan membuat kebijakan melalui layananAWS Identity and Access Management (IAM). Anda pertama kali membuat prinsipal Anda, seperti peran IAM atau pengguna, atau mengaitkan identitas eksternal denganAWS lingkungan Anda menggunakan layanan sepertiAWS IAM Identity Center (successor to AWS Single Sign-On). Kemudian Anda menerapkan kebijakan dengan izin yang dibutuhkan pengguna. Untuk informasi tentang membuat dan melampirkan kebijakan IAM, lihat Bekerja dengan kebijakan.

Izin untuk layanan individu

penting

Bagian ini menjelaskan izin yang diperlukan jika Anda ingin menandai sumber daya dari konsol layanan dan API lainnya, dan menambahkan sumber daya tersebut ke grup sumber daya.

Seperti dijelaskan dalamApa itu kelompok sumber daya?, setiap grup sumber daya mewakili kumpulan sumber daya dari jenis tertentu yang berbagi satu atau lebih kunci tag atau nilai. Untuk menambahkan tag ke sebuah sumber daya, Anda memerlukan izin yang diperlukan untuk layanan tempat sumber daya berada. Misalnya, untuk menandai instans Amazon EC2, Anda harus memiliki izin terhadap tindakan penandaan dalam API layanan tersebut, seperti yang tercantum dalam Panduan Pengguna Amazon EC2.

Untuk memanfaatkan sepenuhnya fitur Resource Groups, Anda memerlukan izin lain yang memungkinkan Anda mengakses konsol layanan dan berinteraksi dengan sumber daya di sana. Untuk contoh kebijakan tersebut untuk Amazon EC2, lihat Contoh kebijakan untuk bekerja di konsol Amazon EC2 dalam Panduan Pengguna Amazon EC2 untuk Instance Linux.

Izin yang diperlukan untuk Resource Groups dan Editor Tag

Untuk menggunakan Resource Groups dan Editor Tag, izin berikut harus ditambahkan ke pernyataan kebijakan pengguna di IAM. Anda dapat menambahkan salah satu kebijakanAWS -managed yang dikelola dan disimpan up-to-date olehAWS, atau Anda dapat membuat dan memelihara kebijakan kustom Anda sendiri.

Menggunakan kebijakanAWS terkelola untuk izin Resource Groups dan Editor Tag

AWS Resource Groupsdan Editor Tag mendukung kebijakanAWS terkelola berikut yang dapat Anda gunakan untuk memberikan seperangkat izin yang telah ditentukan sebelumnya kepada pengguna Anda. Anda dapat melampirkan kebijakan yang dikelola ini ke pengguna, peran, atau grup apa pun seperti kebijakan lain yang Anda buat.

ResourceGroupsandTagEditorReadOnlyAccess

Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi hanya-baca untuk Resource Groups dan Editor Tag. Untuk membaca tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

ResourceGroupsandTagEditorFullAccess

Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi Resource Groups dan operasi tag baca dan tulis di Editor Tag. Untuk membaca atau menulis tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

penting

Dua kebijakan sebelumnya memberikan izin untuk memanggil operasi Resource Groups dan Editor Tag dan menggunakan konsol tersebut. Untuk operasi Resource Groups, kebijakan tersebut cukup dan memberikan semua izin yang diperlukan untuk bekerja dengan sumber daya apa pun di konsol Resource Groups.

Namun, untuk operasi penandaan dan konsol Editor Tag, izin lebih terperinci. Anda harus memiliki izin tidak hanya untuk menjalankan operasi, tetapi juga izin yang sesuai untuk sumber daya tertentu yang tagnya Anda coba akses. Untuk memberikan akses ke tag tersebut, Anda juga harus melampirkan salah satu kebijakan berikut ini:

  • KebijakanAWS -managed ReadOnlyAccessmemberikan izin untuk operasi hanya-baca untuk setiap sumber daya layanan. AWSsecara otomatis menjaga kebijakan ini tetap mutakhir denganAWS layanan baru saat tersedia.

  • Banyak layanan menyediakan kebijakanAWS terkelola hanya-baca khusus layanan yang dapat Anda gunakan untuk membatasi akses hanya ke sumber daya yang disediakan oleh layanan tersebut. Misalnya, Amazon EC2 menyediakan Amazonec2ReadOnlyAccess.

  • Anda dapat membuat kebijakan Anda sendiri yang memberikan akses ke hanya operasi hanya-baca yang sangat spesifik untuk beberapa layanan dan sumber daya yang Anda ingin pengguna Anda akses. Kebijakan ini menggunakan strategi “allow list” atau strategi deny list.

    Strategi daftar izinkan mengambil keuntungan dari fakta bahwa akses ditolak secara default sampai Anda secara eksplisit mengizinkannya dalam kebijakan. Jadi Anda dapat menggunakan kebijakan seperti contoh berikut ini:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

    Atau, Anda dapat menggunakan strategi “deny list” yang memungkinkan akses ke semua sumber daya kecuali yang Anda blokir secara eksplisit.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

Menambahkan izin Resource Groups dan Editor Tag secara manual

  • resource-groups:*(Izin ini mengizinkan semua tindakan Resource Groups. Jika Anda ingin membatasi tindakan yang tersedia bagi pengguna, Anda dapat mengganti tanda bintang dengan tindakan Resource Groups tertentu, atau ke daftar tindakan yang dipisahkan koma)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

Untuk menggunakan Resource Groups dan Editor Tag di konsol, Anda juga memerlukan izin untuk menjalankanresource-groups:ListGroupResources tindakan. Izin ini diperlukan untuk mencantumkan jenis sumber daya yang tersedia di Wilayah saat ini. Menggunakan ketentuan kebijakan dengan saatresource-groups:ListGroupResources ini tidak didukung.

Memberikan izin untuk menggunakanAWS Resource Groups dan Tag Editor

Untuk menambahkan kebijakan penggunaanAWS Resource Groups dan Editor Tag ke pengguna, lakukan hal berikut.

  1. Buka konsol IAM.

  2. Di panel navigasi, pilih Users (Pengguna).

  3. Temukan pengguna yang ingin Anda berikanAWS Resource Groups dan izin Editor Tag. Pilih nama pengguna untuk membuka halaman properti pengguna.

  4. Pilih Tambahkan izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  6. Pilih Buat kebijakan.

  7. Pada tab JSON, tempel pernyataan kebijakan berikut.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    catatan

    Contoh pernyataan kebijakan ini memberikan izin hanya untukAWS Resource Groups dan tindakan Editor Tag. Itu tidak memungkinkan akses keAWS Systems Manager tugas diAWS Resource Groups konsol. Misalnya, kebijakan ini tidak memberikan izin bagi Anda untuk menggunakan perintah Otomatisasi Systems Manager. Untuk melakukan tugas Systems Manager pada grup sumber daya, Anda harus memiliki izin Systems Manager yang melekat pada kebijakan Anda (misalnyassm:*). Untuk informasi selengkapnya tentang pemberian akses ke Systems Manager, lihat Mengkonfigurasi akses ke Systems Manager di PanduanAWS Systems Manager Pengguna.

  8. Pilih Tinjau kebijakan.

  9. Berikan kebijakan baru nama dan deskripsi. (misalnya,AWSResourceGroupsQueryAPIAccess).

  10. Pilih Buat kebijakan.

  11. Setelah kebijakan tersebut disimpan di IAM, Anda dapat melampirkannya ke pengguna lain. Untuk informasi selengkapnya tentang cara menambahkan kebijakan ke pengguna, lihat Menambahkan izin dengan melampirkan kebijakan secara langsung ke pengguna di Panduan Pengguna IAM.

Pelajari lebih lanjut tentangAWS Resource Groups otorisasi dan kontrol akses

Resource Groups mendukung berikut ini.

  • Kebijakan berbasis tindakan. Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna untuk melakukan ListGroupsoperasi, tetapi tidak ada kebijakan lain.

  • Izin tingkat sumber daya. Resource Groups mendukung penggunaan ARNs untuk menentukan sumber daya individu dalam kebijakan.

  • Otorisasi berdasarkan tag. Resource Groups mendukung penggunaan tag sumber daya dalam kondisi kebijakan. Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna Resource Groups akses penuh ke grup yang telah Anda tandai.

  • Kredensi sementara. Pengguna dapat menjalankan peran dengan kebijakan yang memungkinkanAWS Resource Groups operasi.

Resource Groups tidak mendukung kebijakan berbasis sumber daya.

Resource Groups tidak menggunakan peran terkait layanan.

Untuk informasi selengkapnya tentang cara Resource Groups dan Editor Tag terintegrasi denganAWS Identity and Access Management (IAM), lihat topik berikut di PanduanAWS Identity and Access Management Pengguna.