Pré-requisitos para trabalhar com AWS Resource Groups - AWS Resource Groups
Inscreva-se para AWSCriar recursos do Configurar permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para trabalhar com AWS Resource Groups

Antes de começar a trabalhar com grupos de recursos, certifique-se de que você tem uma conta ativa da AWS com recursos existentes e direitos apropriados para marcar recursos e criar grupos.

Inscreva-se para AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

Criar recursos do

Você pode criar um grupo de recursos vazio, mas não pode executar qualquer tarefa nos membros do grupo de recursos enquanto não existirem recursos no grupo. Para obter mais informações sobre os tipos de recurso com suporte, consulte Tipos de recursos que você pode usar com AWS Resource Groups o Tag Editor.

Configurar permissões

Para aproveitar ao máximo os Grupos de recursos e o Tag Editor, você talvez precise de permissões adicionais para marcar recursos ou para ver as chaves e valores de tag de um recurso. Essas permissões se encaixam nas seguintes categorias:

  • Permissões para serviços individuais, para que você possa marcar recursos desses serviços e incluí-los em grupos de recursos.

  • Permissões que são necessárias para usar o console do Tag Editor

  • Permissões necessárias para usar o AWS Resource Groups console e a API.

Se você for administrador, poderá fornecer permissões para seus usuários criando políticas por meio do serviço AWS Identity and Access Management (IAM). Primeiro, você cria seus principais, como funções ou usuários do IAM, ou associa identidades externas ao seu AWS ambiente usando um serviço como. AWS IAM Identity Center Em seguida, você aplica políticas com as permissões de que seus usuários precisam. Para obter informações sobre como criar e anexar políticas do IAM, consulte Como trabalhar com políticas.

Permissões para serviços individuais

Importante

Esta seção descreve as permissões necessárias para marcar recursos em outros consoles e APIs de serviço e adicionar esses recursos a grupos de recursos.

Conforme descrito em O que são grupos de recursos?, cada grupo de recursos representa um conjunto de recursos de tipos especificados que compartilham uma ou mais chaves ou valores de tag. Para adicionar tags a um recurso, você precisa das permissões necessárias para o serviço ao qual o recurso pertence. Por exemplo, para marcar instâncias do Amazon EC2, você precisa ter permissões para as ações de marcação na API daquele serviço, como as listadas no Guia do usuário do Amazon EC2.

Para aproveitar as funções do recurso Grupos de recursos ao máximo, você precisa de outras permissões que permitam acessar um console do serviço e interagir com os recursos ali. Para obter exemplos dessas políticas para o Amazon EC2, consulte Exemplos de políticas para trabalhar no console do Amazon EC2 no Guia do usuário do Amazon EC2.

Permissões obrigatórias para Grupos de recursos e Tag Editor

Para usar os Grupos de recursos e o Tag Editor, as seguintes permissões devem ser adicionadas a uma declaração da política do usuário no IAM. Você pode adicionar políticas AWS gerenciadas que são mantidas e mantidas up-to-date por AWS, ou você pode criar e manter sua própria política personalizada.

Usando políticas AWS gerenciadas para permissões de Resource Groups e Tag Editor

AWS Resource Groups e o Tag Editor oferecem suporte às seguintes políticas AWS gerenciadas que você pode usar para fornecer um conjunto predefinido de permissões aos seus usuários. Você pode anexar essas políticas gerenciadas a qualquer usuário, perfil ou grupo da mesma forma que faria com qualquer outra política criada por você.

ResourceGroupsandTagEditorReadOnlyAccess

Essa política concede ao perfil do IAM ou ao usuário anexado permissão para chamar as operações somente de leitura para Grupos de recursos e Tag Editor. Para ler as tags de um recurso, você também deve ter permissões para esse recurso por meio de outra política (consulte a seguinte observação importante).

ResourceGroupsandTagEditorFullAccess

Essa política concede ao perfil do IAM ou ao usuário anexado permissão para chamar qualquer operação de Grupos de recursos e as operações de tag de leitura e gravação no Tag Editor. Para ler ou gravar as tags de um recurso, você também deve ter permissões para esse recurso por meio de outra política (consulte a seguinte observação importante).

Importante

As duas políticas anteriores concedem permissão para chamar as operações dos Grupos de recursos e do Tag Editor e usar esses consoles. Para operações de Grupos de recursos, essas políticas são suficientes e concedem todas as permissões necessárias para trabalhar com qualquer recurso no console Grupos de recursos.

No entanto, para operações de marcação e o console do Tag Editor, as permissões são mais granulares. Você deve ter permissões não apenas para invocar a operação, mas também permissões apropriadas para o recurso específico cujas tags você está tentando acessar. Para conceder o acesso às tags, você também deve anexar uma das seguintes políticas:

  • A política AWS gerenciada ReadOnlyAccessconcede permissões às operações somente de leitura dos recursos de cada serviço. AWS mantém essa política atualizada automaticamente com novos AWS serviços à medida que eles se tornam disponíveis.

  • Muitos serviços fornecem políticas AWS gerenciadas somente para leitura específicas que você pode usar para limitar o acesso somente aos recursos fornecidos por esse serviço. Por exemplo, o Amazon EC2 fornece o AmazonEC2. ReadOnlyAccess

  • Você pode criar sua própria política que conceda acesso somente às operações de somente leitura muito específicas para os poucos serviços e recursos que você deseja que seus usuários acessem. Essa política usa uma estratégia de “lista de permissões” ou uma estratégia de lista de negação.

    Uma estratégia de lista de permissões aproveita o fato de que o acesso é negado por padrão até que você o permita explicitamente em uma política. Você pode usar uma política como neste exemplo:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    Como alternativa, você pode usar uma estratégia de “lista de negação” que permite acesso a todos os recursos, exceto aqueles que você bloqueia explicitamente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Adicionar permissões de Grupos de recursos e Tag Editor manualmente

  • resource-groups:* Esta permissão permite todas as ações dos Grupos de recursos. Se, em vez disso, quiser restringir as ações que estão disponíveis para um usuário, você pode substituir o asterisco por uma ação específica dos Grupos de recursos ou por uma lista de ações separada por vírgulas

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

nota

A resource-groups:SearchResources permissão permite que o Editor de tags liste recursos quando você filtra sua pesquisa usando chaves ou valores de tag.

A resource-explorer:ListResources permissão permite que o Editor de tags liste recursos quando você pesquisa recursos sem definir tags de pesquisa.

Para usar os Grupos de recursos e o Tag Editor no console, você também precisa de permissão para executar a ação resource-groups:ListGroupResources. Essa permissão é necessária para listar os tipos de recursos disponíveis na região atual. Atualmente, não há suporte para o uso de condições de política com o resource-groups:ListGroupResources.

Conceder permissões para usar um AWS Resource Groups Editor de tags

Para adicionar uma política de uso AWS Resource Groups do Editor de tags a um usuário, faça o seguinte.

  1. Abra o console do IAM.

  2. No painel de navegação, escolha Users.

  3. Encontre o usuário a quem você deseja conceder AWS Resource Groups e as permissões do Editor de tags. Escolha o nome do usuário para abrir a página de propriedades do usuário.

  4. Escolha Add permissions (Adicionar permissões).

  5. Escolha Anexar políticas existentes diretamente.

  6. Escolha Criar política.

  7. Na guia JSON, cole a seguinte declaração de política.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-groups:*",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStackResources",
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*"
      ],
      "Resource": "*"
    }
  ]
}
    nota

    Esta declaração de política de exemplo concede permissões somente para ações do AWS Resource Groups e do Tag Editor. Ele não permite o acesso às AWS Systems Manager tarefas no AWS Resource Groups console. Por exemplo, essa política não concede permissões para que você use os comandos de Automação do Systems Manager. Para executar tarefas do Systems Manager em grupos de recursos, você deve ter permissões do Systems Manager anexadas à sua política (como ssm:*). Para obter mais informações sobre como conceder acesso ao Systems Manager, consulte Configurar acesso ao Systems Manager no Guia do usuário do AWS Systems Manager .

  8. Escolha Revisar política.

  9. Dê um nome e uma descrição à nova política (por exemplo, AWSResourceGroupsQueryAPIAccess).

  10. Escolha Criar política.

  11. Agora que a política está salva no IAM, você pode vinculá-la a outros usuários. Para obter mais informações sobre como adicionar uma política a um usuário, consulte Adição de permissões anexando políticas diretamente ao usuário no Guia do usuário do IAM.

Saiba mais sobre AWS Resource Groups autorização e controle de acesso

Os Grupos de recursos oferecem suporte ao seguinte.

  • Políticas baseadas em ação. Por exemplo, você pode criar uma política que permita que os usuários executem operações ListGroups, mas não outras.

  • Permissões em nível de recurso. Os Grupos de recursos oferecem suporte ao uso de ARNs para especificar recursos individuais na política.

  • Autorização baseada em tags. Os Grupos de recursos oferecem suporte ao uso de tags de recursos na condição de uma política. Por exemplo, você pode criar uma política que conceda aos usuários dos Grupos de recursos acesso total a um grupo marcado.

  • Credenciais temporárias. Os usuários podem assumir uma função com uma política que permite AWS Resource Groups operações.

Os Grupos de recursos não oferecem suporte a políticas baseadas em recurso.

Os Grupos de recursos não usam perfis vinculados a serviços.

Para obter mais informações sobre como o Resource Groups e o Tag Editor se integram ao AWS Identity and Access Management (IAM), consulte os tópicos a seguir no Guia AWS Identity and Access Management do usuário.