を使用するための前提条件 AWS Resource Groups - AWS Resource Groups
にサインアップする AWSリソースの作成アクセス許可の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用するための前提条件 AWS Resource Groups

リソースグループの使用を開始する前に、既存のリソースを含むアクティブな AWS アカウントと、リソースをタグ付けし、グループを作成する適切な権限があることを確認します。

にサインアップする AWS

がない場合は AWS アカウント、次のステップを実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

リソースの作成

空のリソースグループを作成することはできますが、グループにリソースができるまで、リソースグループメンバーに対してタスクを実行することはできません。サポートされるリソースタイプの詳細については、「AWS Resource Groups およびタグエディタで使用できるリソースタイプ」を参照してください。

アクセス許可の設定

リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。

  • 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。

  • タグエディタコンソールを使用するために必要なアクセス許可

  • AWS Resource Groups コンソールと API を使用するために必要なアクセス許可。

管理者の場合は、 AWS Identity and Access Management (IAM) サービスを通じてポリシーを作成することで、ユーザーにアクセス許可を付与できます。まず、IAM ロールやユーザーなどのプリンシパルを作成するか、 などのサービスを使用して外部 ID を AWS 環境に関連付ける必要があります AWS IAM Identity Center。次に、ユーザーが必要とする権限を含むポリシーを適用します。IAM ポリシーの作成とアタッチについては、「ポリシーの使用」を参照してください。

個々のサービスに対するアクセス許可

重要

このセクションでは、他のサービスコンソールや API を使用してリソースをタグ付けし、そのリソースをリソースグループに追加する場合に必要なアクセス許可について説明します。

リソースグループとは」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、そのサービスの API でのタグ付けアクションに対するアクセス許可 (例:「Amazon EC2 ユーザーガイド」に記載されているアクセス許可) が必要です。

リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon EC2 のこのようなポリシーの例については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 コンソールで作業するためのポリシーAmazon EC2」を参照してください。

Resource Groups とタグエディタに必要なアクセス許可

Resource Groups とタグエディタを使用するには、IAM のユーザーのポリシーステートメントに以下のアクセス許可を追加する必要があります。 up-to-date によって管理および保持される AWS管理ポリシーを追加するか AWS、独自のカスタムポリシーを作成して管理できます。

Resource Groups とタグエディタのアクセス許可に AWS マネージドポリシーを使用する

AWS Resource Groups およびタグエディタは、ユーザーに事前定義された一連のアクセス許可を提供するために使用できる以下の AWS マネージドポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。

ResourceGroupsandTagEditorReadOnlyAccess

このポリシーは、Resource Groups とタグエディタの両方についての読み取り専用オペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。

ResourceGroupsandTagEditorFullAccess

このポリシーは、Resource Groups のオペレーションとタグエディタの読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。

重要

上記の 2 つのポリシーは、Resource Groups とタグエディタのオペレーションを呼び出し、それらのコンソールを使用するアクセス許可を付与します。Resource Groups のオペレーションの場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。

ただし、タグ付けオペレーションとタグエディタコンソールでは、アクセス許可がもっと細かく設定されます。オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。

  • AWS管理ポリシーは、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可ReadOnlyAccessを付与します。 は、新しい AWS サービスが利用可能になると、このポリシー AWS を自動的に最新の状態に保ちます。

  • 多くの のサービスでは、サービス固有の読み取り専用 AWSの 管理ポリシーが用意されており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。例えば、Amazon EC2 は AmazonEC2ReadOnlyAccess を提供します。

  • ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、非常に限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。

    許可リスト戦略では、ポリシーで明示的に許可するまで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Resource Groups とタグエディタのアクセス許可を手動で追加する

  • resource-groups:* (このアクセス許可は、すべてのResource Groups アクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを特定の Resource Groups アクション、またはカンマ区切りのアクションのリストに置き換えることができます)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

注記

アクセスresource-groups:SearchResources許可により、タグエディタはタグキーまたは値を使用して検索をフィルタリングするときにリソースを一覧表示できます。

このresource-explorer:ListResourcesアクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタがリソースを一覧表示できるようになります。

コンソールでResource Groups とタグエディタを使用するには、resource-groups:ListGroupResources アクションを実行するためのアクセス許可も必要です。このアクセス許可は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。resource-groups:ListGroupResources でのポリシー条件の使用は、現在サポートされていません。

AWS Resource Groups とタグエディタを使用するためのアクセス許可の付与

AWS Resource Groups およびタグエディタを使用するポリシーをユーザーに追加するには、次の手順を実行します。

  1. [IAM コンソール] を開きます。

  2. ナビゲーションペインで [Users (ユーザー)] を選択します。

  3. AWS Resource Groups およびタグエディタのアクセス許可を付与するユーザーを検索します。ユーザーの名前を選択して、ユーザーのプロパティページを開きます。

  4. [Add permissions] (許可の追加) を選択します。

  5. [Attach existing policies directly] (既存のポリシーを直接添付) を選択します。

  6. (ポリシーの作成 ) を選択します。

  7. JSON タブに、以下のポリシーステートメントを貼り付けます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    注記

    このポリシーステートメントの例は、 AWS Resource Groups アクションとタグエディタのアクションに対してのみアクセス許可を付与します。 AWS Resource Groups コンソールの AWS Systems Manager タスクへのアクセスは許可されません。例えば、このポリシーでは、Systems Manager Automation コマンドを使用するためのアクセス許可は付与されません。リソースグループで Systems Manager タスクを実行するには、Systems Manager のアクセス許可 (例: ssm:*) がポリシーにアタッチされている必要があります。Systems Manager へのアクセス権限を付与する方法については、「AWS Systems Manager ユーザーガイド」の「Systems Manager へのアクセス設定」を参照してください。

  8. [ポリシーの確認] を選択します。

  9. 新しいポリシーの名前と説明を入力します (たとえば、AWSResourceGroupsQueryAPIAccess)。

  10. [ポリシーの作成] を選択します。

  11. ポリシーが IAM に保存され、他のユーザーにアタッチできるようになりました。ポリシーをユーザーに追加する方法については、「IAM ユーザーガイド」の「ポリシーをユーザーに直接アタッチすることによるアクセス許可の追加」を参照してください。

AWS Resource Groups 認証とアクセスコントロールの詳細

Resource Groups は以下をサポートしています。

  • アクションベースのポリシー。例えば、ユーザーに、ListGroups オペレーションの実行を許可し、それ以外のオペレーションを許可しないポリシーを作成できます。

  • リソースレベルのアクセス許可。Resource Groups では、ARN を使用してポリシーで個々のリソースを指定できます。

  • タグに基づいた承認。Resource Groups は、ポリシーの条件でのリソースタグの使用をサポートします。例えば、Resource Groups ユーザーに、お客様がタグ付けしたグループへのフルアクセスを許可するポリシーを作成できます。

  • 一時認証情報。ユーザーは、 AWS Resource Groups オペレーションを許可するポリシーを持つロールを引き受けることができます。

Resource Groups では、リソースベースのポリシー はサポートされていません。

Resource Groups は、サービスにリンクされたロールを使用しません。

Resource Groups とタグエディタが AWS Identity and Access Management (IAM) と統合する方法の詳細については、 AWS Identity and Access Management ユーザーガイドの以下のトピックを参照してください。