Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat untuk bekerja dengan AWS Resource Groups
Sebelum Anda mulai bekerja dengan grup sumber daya, pastikan Anda memiliki AWS akun aktif dengan sumber daya yang ada dan hak yang sesuai untuk menandai sumber daya dan membuat grup.
**Topics**
+ [Mendaftar untuk AWS](#gettingstarted-prereqs-signup)
+ [Buat sumber daya](#gettingstarted-prereqs-create)
+ [Menyiapkan izin](gettingstarted-prereqs-permissions.md)
## Mendaftar untuk AWS
Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.
**Untuk mendaftar untuk Akun AWS**
1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)
1. Ikuti petunjuk online.
Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.
Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
## Buat sumber daya
Anda dapat membuat grup sumber daya kosong, tetapi tidak akan dapat melakukan tugas apa pun pada anggota grup sumber daya hingga ada sumber daya dalam grup. Untuk informasi selengkapnya tentang jenis sumber daya yang didukung, lihat[Jenis sumber daya yang dapat Anda gunakan dengan AWS Resource Groups dan Editor Tag](supported-resources.md).
# Menyiapkan izin
Untuk memanfaatkan sepenuhnya Resource Groups dan Tag Editor, Anda mungkin memerlukan izin tambahan untuk menandai sumber daya atau untuk melihat kunci dan nilai tag sumber daya. Izin ini termasuk dalam kategori berikut:
+ Izin untuk layanan individual sehingga Anda dapat menandai sumber daya dari layanan tersebut dan memasukkannya ke dalam grup sumber daya.
+ Izin yang diperlukan untuk menggunakan konsol Editor Tag
+ Izin yang diperlukan untuk menggunakan AWS Resource Groups konsol dan API.
Jika Anda seorang administrator, Anda dapat memberikan izin untuk pengguna Anda dengan membuat kebijakan melalui layanan AWS Identity and Access Management (IAM). Pertama-tama Anda membuat prinsipal Anda, seperti peran IAM atau pengguna, atau mengaitkan identitas eksternal dengan AWS lingkungan Anda menggunakan layanan seperti. AWS IAM Identity Center Kemudian Anda menerapkan kebijakan dengan izin yang dibutuhkan pengguna Anda. Untuk informasi tentang membuat dan melampirkan kebijakan IAM, lihat [Bekerja dengan](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html) kebijakan.
## Izin untuk layanan individual
**penting**
Bagian ini menjelaskan izin yang diperlukan jika Anda ingin menandai sumber daya dari konsol layanan lain dan APIs menambahkan sumber daya tersebut ke grup sumber daya.
Seperti dijelaskan dalam[Sumber daya dan jenis kelompoknya](resource-groups.md#resource-groups-intro), setiap grup sumber daya mewakili kumpulan sumber daya dari jenis tertentu yang berbagi satu atau beberapa kunci tag atau nilai. Untuk menambahkan tag ke sumber daya, Anda memerlukan izin yang diperlukan untuk layanan yang menjadi sumber daya tersebut. [Misalnya, untuk menandai instans Amazon EC2, Anda harus memiliki izin untuk tindakan penandaan di API layanan tersebut, seperti yang tercantum dalam Panduan Pengguna Amazon EC2.](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)
Untuk memanfaatkan sepenuhnya fitur Resource Groups, Anda memerlukan izin lain yang memungkinkan Anda mengakses konsol layanan dan berinteraksi dengan sumber daya di sana. Untuk contoh kebijakan tersebut untuk Amazon EC2, lihat [Contoh kebijakan untuk bekerja di konsol Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) di Panduan Pengguna Amazon *EC2*.
## Izin yang diperlukan untuk Resource Groups dan Tag Editor
Untuk menggunakan Resource Groups dan Tag Editor, izin berikut harus ditambahkan ke pernyataan kebijakan pengguna di IAM. Anda dapat menambahkan kebijakan AWS-managed yang dikelola dan disimpan up-to-date oleh AWS, atau Anda dapat membuat dan memelihara kebijakan kustom Anda sendiri.
### Menggunakan kebijakan AWS terkelola untuk izin Resource Groups dan Tag Editor
AWS Resource Groups dan Editor Tag mendukung kebijakan AWS terkelola berikut yang dapat Anda gunakan untuk memberikan seperangkat izin yang telah ditentukan sebelumnya kepada pengguna Anda. Anda dapat melampirkan kebijakan terkelola ini ke pengguna, peran, atau grup apa pun seperti kebijakan lain yang Anda buat.
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi hanya-baca untuk Resource Groups dan Editor Tag. Untuk membaca tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Kebijakan ini memberikan peran IAM terlampir atau izin pengguna untuk memanggil operasi Resource Groups dan operasi tag baca dan tulis di Editor Tag. Untuk membaca atau menulis tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).
**penting**
Dua kebijakan sebelumnya memberikan izin untuk memanggil operasi Resource Groups dan Tag Editor dan menggunakan konsol tersebut. Untuk operasi Resource Groups, kebijakan tersebut sudah memadai dan memberikan semua izin yang diperlukan untuk bekerja dengan sumber daya apa pun di konsol Resource Groups.
Namun, untuk operasi penandaan dan konsol Editor Tag, izin lebih terperinci. Anda harus memiliki izin tidak hanya untuk menjalankan operasi, tetapi juga izin yang sesuai untuk sumber daya tertentu yang tagnya Anda coba akses. Untuk memberikan akses ke tag tersebut, Anda juga harus melampirkan salah satu kebijakan berikut:
Kebijakan yang AWS dikelola [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)memberikan izin untuk operasi hanya-baca untuk setiap sumber daya layanan. AWS secara otomatis menjaga kebijakan ini tetap up to date dengan AWS layanan baru saat tersedia.
Banyak layanan menyediakan kebijakan AWS terkelola hanya-baca khusus layanan yang dapat Anda gunakan untuk membatasi akses hanya ke sumber daya yang disediakan oleh layanan tersebut. [Misalnya, Amazon EC2 menyediakan Amazon. EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Anda dapat membuat kebijakan Anda sendiri yang memberikan akses ke hanya operasi read-only yang sangat spesifik untuk beberapa layanan dan sumber daya yang Anda ingin pengguna Anda akses. Kebijakan ini menggunakan strategi “izinkan daftar” atau strategi daftar penolakan.
Strategi daftar izinkan mengambil keuntungan dari fakta bahwa akses ditolak secara default sampai Anda secara ***eksplisit mengizinkannya*** dalam kebijakan. Jadi, Anda dapat menggunakan kebijakan seperti contoh berikut:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
Atau, Anda dapat menggunakan strategi “tolak daftar” yang memungkinkan akses ke semua sumber daya kecuali yang Anda blokir secara eksplisit.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Menambahkan izin Resource Groups dan Tag Editor secara manual
+ `resource-groups:*`(Izin ini memungkinkan semua tindakan Resource Groups. Jika Anda ingin membatasi tindakan yang tersedia bagi pengguna, Anda dapat mengganti tanda bintang dengan tindakan [Resource Groups tertentu, atau ke daftar tindakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) yang dipisahkan koma)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**catatan**
`resource-groups:SearchResources`Izin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda memfilter pencarian menggunakan kunci tag atau nilai.
`resource-explorer:ListResources`Izin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda mencari sumber daya tanpa menentukan tag penelusuran.
Untuk menggunakan Resource Groups dan Tag Editor di konsol, Anda juga memerlukan izin untuk menjalankan `resource-groups:ListGroupResources` tindakan. Izin ini diperlukan untuk mencantumkan jenis sumber daya yang tersedia di Wilayah saat ini. Menggunakan kondisi kebijakan dengan saat `resource-groups:ListGroupResources` ini tidak didukung.
# Memberikan izin untuk menggunakan AWS Resource Groups dan Tag Editor
Untuk menambahkan kebijakan penggunaan AWS Resource Groups dan Editor Tag ke pengguna, lakukan hal berikut.
1. Buka [konsol IAM](https://console.aws.amazon.com/iam).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Temukan pengguna yang ingin Anda berikan AWS Resource Groups dan izin Editor Tag. Pilih nama pengguna untuk membuka halaman properti pengguna.
1. Pilih **Tambahkan izin**.
1. Pilih **Lampirkan kebijakan yang sudah ada secara langsung**.
1. Pilih **Buat kebijakan**.
1. Pada tab **JSON**, tempel pernyataan kebijakan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Contoh pernyataan kebijakan ini hanya memberikan izin untuk tindakan AWS Resource Groups dan Editor Tag. Itu tidak memungkinkan akses ke AWS Systems Manager tugas di AWS Resource Groups konsol. Misalnya, kebijakan ini tidak memberikan izin bagi Anda untuk menggunakan perintah Otomasi Systems Manager. Untuk melakukan tugas Systems Manager pada grup sumber daya, Anda harus memiliki izin Systems Manager yang dilampirkan pada kebijakan Anda (seperti`ssm:*`). Untuk informasi selengkapnya tentang pemberian akses ke Systems Manager, lihat [Mengonfigurasi akses ke Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) di *AWS Systems Manager Panduan Pengguna*.
1. Pilih **Tinjau kebijakan**.
1. Berikan nama dan deskripsi kebijakan baru. (misalnya,`AWSResourceGroupsQueryAPIAccess`).
1. Pilih **Buat kebijakan**.
1. Sekarang kebijakan disimpan di IAM, Anda dapat melampirkannya ke pengguna lain. Untuk informasi selengkapnya tentang cara menambahkan kebijakan ke pengguna, lihat [Menambahkan izin dengan melampirkan kebijakan langsung ke pengguna di Panduan Pengguna](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy) *IAM*.