使用的先决条件AWS Resource Groups - AWS Resource Groups和标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用的先决条件AWS Resource Groups

在开始使用资源组之前,请确保您有一个具有现有资源的活动 AWS 账户,以及用于标记资源和创建组的适当权限。

注册AWS

如果您还没有 AWS 账户,请完成以下步骤创建一个。

注册 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

    当您注册 AWS 账户 时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户访问权限的任务

创建 资源

您可以创建空资源组,但在组中有资源之前,无法对资源组成员执行任何任务。有关支持的资源类型的更多信息,请参阅可以与AWS Resource Groups和标签编辑器一起使用的资源类型

设置权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源.

  • 使用标签编辑器控制台所需的权限

  • 使用 AWS Resource Groups 控制台和 API 所需的权限。

如果您是管理员,可以通过 AWS Identity and Access Management (IAM) 服务创建策略,为用户提供权限。您首先创建 IAM 用户或组,然后应用具有所需权限的策略。有关创建和附加 IAM 策略的信息,请参阅使用策略

单个服务的权限

重要

本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。

什么是资源组?中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须拥有在该服务的 API 中执行标记操作的权限,例如 Amazon EC2 用户指南中列出的那些操作。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关 Amazon EC2 的此类策略的示例,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EC2 用户指南(适用于 Linux 实例)中的 A mazon EC2

Resource Groups 和标签编辑器所需的权限

要使用Resource Groups 和标签编辑器,必须将以下权限添加到 IAM 中的用户策略声明中。您可以添加 up-to-date 由维护和保存的AWS托管策略AWS,也可以创建和维护自己的自定义策略。

使用AWS托管策略获取Resource Groups 和标签编辑器权限

AWS Resource Groups和标签编辑器支持以下AWS托管策略,您可以使用这些策略向用户提供一组预定义的权限。您可以将这些托管策略附加到任何用户、角色或组,就像将创建的任何其他策略附加到一样。

ResourceGroupsandTagEditorReadOnlyAccess

此策略授予关联的 IAM 用户或角色调用Resource Groups 和标签编辑器的只读操作的权限。要读取资源的标签,您还必须通过单独的策略获得该资源的权限(请参阅以下重要说明)。

ResourceGroupsandTagEditorFullAccess

此策略向关联的 IAM 用户或角色授予在标签编辑器中调用任何Resource Groups 操作和读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略获得该资源的权限(请参阅以下重要说明)。

重要

前两项策略授予调用Resource Groups 和标签编辑器操作并使用这些控制台的权限。对于Resource Groups 操作,这些策略就足够了,可以授予在Resource Groups 控制台中使用任何资源所需的所有权限。

但是,对于标记操作和标签编辑器控制台,权限更为精细。您不仅必须拥有调用操作的权限,还必须拥有对您尝试访问其标签的特定资源的相应权限。要向标签授予此访问权限,您还必须附加以下策略之一:

  • AWS-managed 策略ReadOnlyAccess授予对每个服务资源的只读操作的权限。 AWS在新AWS服务可用时自动更新此政策。

  • 许多服务提供特定于服务的只AWS读托管策略,您可以使用该策略将访问权限限制为仅访问该服务提供的资源。例如,Amazon EC2 提供了 AmazonEC2ReadOnlyAccess

  • 您可以创建自己的策略,针对您希望用户访问的少数服务和资源,仅授予对非常具体的只读操作的访问权限。此策略使用 “允许列表” 策略或拒绝列表策略。

    允许列表策略利用了这样一个事实,即在策略中明确允许访问之前,访问在默认情况下会被拒绝。因此,您可以使用与以下示例类似的策略:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

    或者,您可以使用 “拒绝列表” 策略,该策略允许访问除您明确屏蔽的资源之外的所有资源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }

手动添加Resource Groups 和标签编辑器权限

  • resource-groups:*(此权限允许所有Resource Groups 操作。 如果您想限制用户可以执行的操作,则可以将星号替换为特定的Resource Groups 操作或以逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

要在控制台中使用Resource Groups 和标签编辑器,您还需要运行resource-groups:ListGroupResources操作的权限。此权限是列出当前区域中可用的资源类型所必需的。当前不支持使用策略条件。resource-groups:ListGroupResources

授予使用AWS Resource Groups和标签编辑器的权限

要为用户添加使用 AWS Resource Groups和标签编辑器的策略,请执行以下操作。

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Users(用户)。

  3. 找到要授予 AWS Resource Groups和标签编辑器权限的用户。选择用户的名称以打开用户属性页。

  4. 选择 Add permissions(添加权限)。

  5. 选择 Attach existing policies directly(直接附上现有策略)。

  6. 选择 Create policy(创建策略)

  7. JSON 选项卡上,粘贴以下策略声明。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ] }
    注意

    此示例策略声明仅授予AWS Resource Groups和标签编辑器操作的权限。它不允许在 AWS Resource Groups 控制台中访问 AWS Systems Manager 任务。例如,此策略不授予您使用 Systems Manager 自动化命令的权限。要对资源组执行 Systems Manager 任务,您必须将系统管理员权限附加到您的策略(例如ssm:*)。有关向 Systems Manager 授予访问权限的更多信息,请参阅《AWS Systems Manager用户指南》中的 “配置Systems Manager 访问权限”。

  8. 选择Review policy(查看策略)

  9. 为新策略指定名称和描述(例如 AWSResourceGroupsQueryAPIAccess)。

  10. 选择 Create policy(创建策略)

  11. 策略已保存到 IAM 中,您可以附加到其他用户。有关如何向用户添加策略的更多信息,请参阅 IAM 用户指南中的通过将策略直接附加到用户来添加权限

了解有关AWS Resource Groups授权和访问控制的更多信息

Resource Groups 支持以下内容。

  • 基于操作的策略。例如,您可以创建一个允许用户执行操作但不允许其他用户执行ListGroups操作的策略。

  • 资源级权限。 Resou rce Groups 支持使用 ARN 在策略中指定各个资源。

  • 基于标签的授权。 Resource Groups 支持在策略条件下使用资源标签。例如,您可以创建一个策略,允许Resource Groups 用户对您标记的组具有完全访问权限。

  • 临时凭证。用户可以通过允许 AWS Resource Groups 操作的策略代入角色。

Resource Groups 不支持基于资源的策略。

Resource Groups 不使用任何服务相关角色。

有关如何与AWS Identity and Access Management (IAM) 的Resource Groups 和标签编辑器集成 (IAM) 的更多信息,请参阅AWS Identity and Access Management用户指南中的下列主题。