Prasyarat untuk bekerja dengan AWS Resource Groups - AWS Resource Groups
Mendaftar untuk AWSBuat sumber dayaMenyiapkan izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk bekerja dengan AWS Resource Groups

Sebelum Anda mulai bekerja dengan grup sumber daya, pastikan Anda memiliki AWS akun aktif dengan sumber daya yang ada dan hak yang sesuai untuk menandai sumber daya dan membuat grup.

Mendaftar untuk AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

Untuk mendaftar untuk Akun AWS

  1. Buka https://portal.aws.amazon.com/billing/signup.

  2. Ikuti petunjuk secara online.

    Anda akan diminta untuk menerima panggilan telepon dan memasukkan kode verifikasi pada keypad telepon sebagai bagian dari prosedur pendaftaran.

    Saat Anda mendaftar untuk sebuah Akun AWS, sebuah Pengguna root akun AWSdibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya dalam akun. Sebagai praktik terbaik keamanan, tetapkan akses administratif ke pengguna administratif, dan hanya gunakan pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

Buat sumber daya

Anda dapat membuat grup sumber daya kosong, tetapi tidak akan dapat melakukan tugas apa pun pada anggota grup sumber daya hingga ada sumber daya dalam grup. Untuk informasi selengkapnya tentang jenis sumber daya yang didukung, lihatJenis sumber daya yang dapat Anda gunakan dengan AWS Resource Groups dan Editor Tag.

Menyiapkan izin

Untuk memanfaatkan sepenuhnya Resource Groups dan Tag Editor, Anda mungkin memerlukan izin tambahan untuk menandai sumber daya atau untuk melihat kunci dan nilai tag sumber daya. Izin ini termasuk dalam kategori berikut:

  • Izin untuk layanan individual sehingga Anda dapat menandai sumber daya dari layanan tersebut dan memasukkannya ke dalam grup sumber daya.

  • Izin yang diperlukan untuk menggunakan konsol Editor Tag

  • Izin yang diperlukan untuk menggunakan AWS Resource Groups konsol dan API.

Jika Anda seorang administrator, Anda dapat memberikan izin untuk pengguna Anda dengan membuat kebijakan melalui layanan AWS Identity and Access Management (IAM). Pertama-tama Anda membuat prinsipal Anda, seperti peran IAM atau pengguna, atau mengaitkan identitas eksternal dengan AWS lingkungan Anda menggunakan layanan seperti. AWS IAM Identity CenterKemudian Anda menerapkan kebijakan dengan izin yang dibutuhkan pengguna Anda. Untuk informasi tentang membuat dan melampirkan kebijakan IAM, lihat Bekerja dengan kebijakan.

Izin untuk layanan individual

penting

Bagian ini menjelaskan izin yang diperlukan jika Anda ingin menandai sumber daya dari konsol layanan dan API lain, dan menambahkan sumber daya tersebut ke grup sumber daya.

Seperti dijelaskan dalamApa itu kelompok sumber daya?, setiap grup sumber daya mewakili kumpulan sumber daya dari jenis tertentu yang berbagi satu atau beberapa kunci tag atau nilai. Untuk menambahkan tag ke sumber daya, Anda memerlukan izin yang diperlukan untuk layanan yang menjadi sumber daya tersebut. Misalnya, untuk menandai instans Amazon EC2, Anda harus memiliki izin untuk tindakan penandaan di API layanan tersebut, seperti yang tercantum dalam Panduan Pengguna Amazon EC2.

Untuk memanfaatkan sepenuhnya fitur Resource Groups, Anda memerlukan izin lain yang memungkinkan Anda mengakses konsol layanan dan berinteraksi dengan sumber daya di sana. Untuk contoh kebijakan tersebut untuk Amazon EC2, lihat Contoh kebijakan untuk bekerja di konsol Amazon EC2 di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Izin yang diperlukan untuk Resource Groups dan Tag Editor

Untuk menggunakan Resource Groups dan Tag Editor, izin berikut harus ditambahkan ke pernyataan kebijakan pengguna di IAM. Anda dapat menambahkan kebijakan AWS-managed yang dikelola dan disimpan up-to-date oleh AWS, atau Anda dapat membuat dan memelihara kebijakan kustom Anda sendiri.

Menggunakan kebijakan AWS terkelola untuk izin Resource Groups dan Tag Editor

AWS Resource Groups dan Editor Tag mendukung kebijakan AWS terkelola berikut yang dapat Anda gunakan untuk memberikan seperangkat izin yang telah ditentukan sebelumnya kepada pengguna Anda. Anda dapat melampirkan kebijakan terkelola ini ke pengguna, peran, atau grup apa pun seperti kebijakan lain yang Anda buat.

ResourceGroupsandTagEditorReadOnlyAccess

Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi hanya-baca untuk Resource Groups dan Editor Tag. Untuk membaca tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

ResourceGroupsandTagEditorFullAccess

Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi Resource Groups dan operasi tag baca dan tulis di Editor Tag. Untuk membaca atau menulis tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

penting

Dua kebijakan sebelumnya memberikan izin untuk memanggil operasi Resource Groups dan Tag Editor dan menggunakan konsol tersebut. Untuk operasi Resource Groups, kebijakan tersebut sudah memadai dan memberikan semua izin yang diperlukan untuk bekerja dengan sumber daya apa pun di konsol Resource Groups.

Namun, untuk operasi penandaan dan konsol Editor Tag, izin lebih terperinci. Anda harus memiliki izin tidak hanya untuk menjalankan operasi, tetapi juga izin yang sesuai untuk sumber daya tertentu yang tagnya Anda coba akses. Untuk memberikan akses ke tag tersebut, Anda juga harus melampirkan salah satu kebijakan berikut:

  • Kebijakan yang AWSdikelola ReadOnlyAccessmemberikan izin untuk operasi hanya-baca untuk setiap sumber daya layanan. AWS secara otomatis menjaga kebijakan ini tetap up to date dengan AWS layanan baru saat tersedia.

  • Banyak layanan menyediakan kebijakan AWSterkelola hanya-baca khusus layanan yang dapat Anda gunakan untuk membatasi akses hanya ke sumber daya yang disediakan oleh layanan tersebut. Misalnya, Amazon EC2 menyediakan AmazonEC2. ReadOnlyAccess

  • Anda dapat membuat kebijakan Anda sendiri yang memberikan akses ke hanya operasi read-only yang sangat spesifik untuk beberapa layanan dan sumber daya yang Anda ingin pengguna Anda akses. Kebijakan ini menggunakan strategi “izinkan daftar” atau strategi daftar penolakan.

    Strategi daftar izinkan mengambil keuntungan dari fakta bahwa akses ditolak secara default sampai Anda secara eksplisit mengizinkannya dalam kebijakan. Jadi, Anda dapat menggunakan kebijakan seperti contoh berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    Atau, Anda dapat menggunakan strategi “tolak daftar” yang memungkinkan akses ke semua sumber daya kecuali yang Anda blokir secara eksplisit.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Menambahkan izin Resource Groups dan Tag Editor secara manual

  • resource-groups:*(Izin ini memungkinkan semua tindakan Resource Groups. Jika Anda ingin membatasi tindakan yang tersedia bagi pengguna, Anda dapat mengganti tanda bintang dengan tindakan Resource Groups tertentu, atau ke daftar tindakan yang dipisahkan koma)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

catatan

resource-groups:SearchResourcesIzin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda memfilter pencarian menggunakan kunci tag atau nilai.

resource-explorer:ListResourcesIzin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda mencari sumber daya tanpa menentukan tag penelusuran.

Untuk menggunakan Resource Groups dan Tag Editor di konsol, Anda juga memerlukan izin untuk menjalankan resource-groups:ListGroupResources tindakan. Izin ini diperlukan untuk mencantumkan jenis sumber daya yang tersedia di Wilayah saat ini. Menggunakan kondisi kebijakan dengan saat resource-groups:ListGroupResources ini tidak didukung.

Memberikan izin untuk menggunakan AWS Resource Groups dan Tag Editor

Untuk menambahkan kebijakan penggunaan AWS Resource Groups dan Editor Tag ke pengguna, lakukan hal berikut.

  1. Buka konsol IAM.

  2. Di panel navigasi, pilih Pengguna.

  3. Temukan pengguna yang ingin Anda berikan AWS Resource Groups dan izin Editor Tag. Pilih nama pengguna untuk membuka halaman properti pengguna.

  4. Pilih Tambahkan izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  6. Pilih Buat kebijakan.

  7. Pada tab JSON, tempel pernyataan kebijakan berikut.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    catatan

    Contoh pernyataan kebijakan ini hanya memberikan izin untuk tindakan AWS Resource Groups dan Editor Tag. Itu tidak memungkinkan akses ke AWS Systems Manager tugas di AWS Resource Groups konsol. Misalnya, kebijakan ini tidak memberikan izin bagi Anda untuk menggunakan perintah Otomasi Systems Manager. Untuk melakukan tugas Systems Manager pada grup sumber daya, Anda harus memiliki izin Systems Manager yang dilampirkan pada kebijakan Anda (sepertissm:*). Untuk informasi selengkapnya tentang pemberian akses ke Systems Manager, lihat Mengonfigurasi akses ke Systems Manager di AWS Systems Manager Panduan Pengguna.

  8. Pilih Tinjau kebijakan.

  9. Berikan nama dan deskripsi kebijakan baru. (misalnya,AWSResourceGroupsQueryAPIAccess).

  10. Pilih Buat kebijakan.

  11. Sekarang kebijakan disimpan di IAM, Anda dapat melampirkannya ke pengguna lain. Untuk informasi selengkapnya tentang cara menambahkan kebijakan ke pengguna, lihat Menambahkan izin dengan melampirkan kebijakan langsung ke pengguna di Panduan Pengguna IAM.

Pelajari lebih lanjut tentang AWS Resource Groups otorisasi dan kontrol akses

Resource Groups mendukung yang berikut ini.

  • Kebijakan berbasis tindakan. Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna untuk melakukan ListGroupsoperasi, tetapi tidak ada yang lain.

  • Izin tingkat sumber daya. Resource Groups mendukung penggunaan ARN untuk menentukan sumber daya individual dalam kebijakan.

  • Otorisasi berdasarkan tag. Resource Groups mendukung penggunaan tag sumber daya dalam kondisi kebijakan. Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna Resource Groups mengakses penuh ke grup yang telah ditandai.

  • Kredensi sementara. Pengguna dapat mengambil peran dengan kebijakan yang memungkinkan AWS Resource Groups operasi.

Resource Groups tidak mendukung kebijakan berbasis sumber daya.

Resource Groups tidak menggunakan peran terkait layanan apa pun.

Untuk informasi selengkapnya tentang bagaimana Resource Groups dan Tag Editor terintegrasi dengan AWS Identity and Access Management (IAM), lihat topik berikut di PanduanAWS Identity and Access Management Pengguna.