使用的先決條件 AWS Resource Groups

開始使用資源群組之前，請確定您的作用中 AWS 帳戶具有現有資源和適當的權限，可對資源加上標籤和建立群組。

註冊成為 AWS

如果您沒有 AWS 帳戶，請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

1. 開啟 https://portal.aws.amazon.com/billing/signup。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   當您註冊時 AWS 帳戶，會建立AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者，並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

建立 資源

您可以建立空的資源群組，但在群組中有資源之前，無法對資源群組成員執行任何工作。如需支援資源類型的詳細資訊，請參閱可與標籤編輯器搭配使用 AWS Resource Groups 的資源類型。

設定許可

為了完整利用資源群組和標籤編輯器，您可能需要額外的許可，來為資源加上標籤或查看資源的標籤索引鍵和值。這些許可分為以下類別：

• 個別服務的許可，使得您可以為來自那些服務的資源加上標籤，並將它們包含在資源群組中。

• 使用標籤編輯器主控台所需的權限

• 使用 AWS Resource Groups 主控台和 API 所需的權限。

如果您是管理員，則可以透過 AWS Identity and Access Management (IAM) 服務建立政策，為使用者提供許可。您必須先建立主體 (例如 IAM 角色或使用者)，或使用類似 AWS IAM Identity Center的服務將外部身分與 AWS 環境建立關聯。然後，您可以使用您的使用者需要的權限來套用原則。如需建立和附加 IAM 政策的相關資訊，請參閱使用政策。

個別服務的權限

重要

本節說明如果您想要將來自其他服務主控台和 API 的資源加上標籤，以及將這些資源新增到資源群組時所需的許可。

如什麼是資源群組？中所述，每個資源群組代表共用一或多個標籤索引鍵或值之指定類型的資源集合。若要將標籤新增到資源，您需要資源所屬服務所需的許可。例如，若要標記 Amazon EC2 執行個體，您必須擁有該服務 API 中標記動作的許可，例如 Amazon EC2 使用者指南中列出的動作。

為了完整利用資源群組功能，您需要其他許可，以允許您存取服務的主控台並與該處的資源互動。如需此類 Amazon EC2 政策的範例，請參閱 Amazon EC2 執行個體使用者指南中的 Amazon EC2 主控台中使用的範例政策。

Resource Groups 和標籤編輯器的必要權限

若要使用 Resource Groups 和標籤編輯器，必須將下列權限新增至 IAM 中的使用者政策陳述式。您可以新增由維護和保留的 AWS管理原 up-to-date 則 AWS，也可以建立和維護自己的自訂原則。

針對 Resource Groups 和標籤編輯器權限使用 AWS 受管策略

AWS Resource Groups 和標籤編輯器支援下列 AWS 受管理的策略，您可以使用這些策略向使用者提供預先定義的一組權限。您可以將這些受管理的政策附加到任何使用者、角色或群組，就像您建立的任何其他原則一樣。

ResourceGroupsandTagEditorReadOnlyAccess

此政策授予附加的 IAM 角色或使用者權限，以呼叫 Resource Groups 和標籤編輯器的唯讀作業。若要讀取資源的標籤，您還必須透過個別原則擁有該資源的權限 (請參閱下列重要注意事項)。

ResourceGroupsandTagEditorFullAccess

此政策授予附加的 IAM 角色或使用者權限，以呼叫任何 Resource Groups 作業，以及在標籤編輯器中進行讀取和寫入標籤作業。若要讀取或寫入資源的標籤，您還必須透過個別原則擁有該資源的權限 (請參閱下列重要注意事項)。

重要

先前的兩個原則會授與呼叫 Resource Groups 和標籤編輯器作業以及使用這些主控台的權限。對於 Resource Groups 作業，這些策略就足夠了，並授與使用 Resource Groups 主控台中任何資源所需的所有權限。

不過，對於標記作業和標籤編輯器主控台，權限會更加精細。您不僅必須具有調用操作的權限，還必須具有對您嘗試訪問其標籤的特定資源的適當權限。若要授與該標籤存取權，您還必須附加下列其中一個原則：

• AWS-managed 政策會ReadOnlyAccess授與每個服務資源之唯讀作業的權限。 AWS 在新 AWS 服務可用時，自動保持此政策的最新狀態。

• 許多服務提供服務特定的唯讀 AWS管理策略，您可以使用這些策略來限制只存取該服務提供的資源。例如，Amazon EC2 提供亞馬遜 ReadOnlyAccess EC2。

• 您可以建立自己的原則，針對您希望使用者存取的少數服務和資源，僅授與非常特定的唯讀作業的存取權。此原則使用「允許清單」策略或拒絕清單策略。

  允許清單策略會利用預設拒絕存取的事實，直到您在原則中明確允許存取為止。因此，您可以使用如下示例所示的策略：

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "resource-groups:*" ],
              "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
          }
      ]
  }

  或者，您可以使用「拒絕清單」策略，允許存取您明確封鎖的資源以外的所有資源。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Deny",
               "Action": [ "resource-groups:*" ],
              "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
          }
      ]
  }

手動新增 Resource Groups 和標籤編輯器權限

• resource-groups:*(此權限允許所有 Resource Groups 動作。 如果您想要限制使用者可使用的動作，可以使用特定的 Resource Groups 動作取代星號，或以逗號分隔的動作清單取代星號)

• cloudformation:DescribeStacks

• cloudformation:ListStackResources

• tag:GetResources

• tag:TagResources

• tag:UntagResources

• tag:getTagKeys

• tag:getTagValues

• resource-explorer:*

注意

該resource-groups:SearchResources權限允許標籤編輯器在您使用標籤鍵或值篩選搜尋時列出資源。

此resource-explorer:ListResources權限允許「標籤編輯器」在您搜尋資源時列出資源，而不定義搜尋標籤。

若要在主控台中使用 Resource Groups 和標籤編輯器，您還需要執行resource-groups:ListGroupResources動作的權限。此權限對於列出目前區域中的可用資源類型是必要的。目前不支援搭配resource-groups:ListGroupResources使用原則條件。

授與使用 AWS Resource Groups 和標籤編輯器的權限

若要將使用 AWS Resource Groups 和標籤編輯器的原則新增至使用者，請執行下列動作。

1. 開啟 IAM 主控台。

2. 在導覽窗格中，選擇使用者 。

3. 尋找您要授 AWS Resource Groups 與的使用者和標籤編輯器權限。選擇使用者的名稱來開啟使用者屬性頁面。

4. 選擇新增許可。

5. 選擇直接連接現有政策。

6. 選擇建立政策。

7. 在 JSON 標籤上，貼上下列政策陳述式。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "resource-groups:*",
           "cloudformation:DescribeStacks",
           "cloudformation:ListStackResources",
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*"
         ],
         "Resource": "*"
       }
     ]
   }

   注意

   此範例原則陳述式僅授 AWS Resource Groups 與和「標籤編輯器」動作的權限。它不允許存取 AWS Resource Groups 主控台中的 AWS Systems Manager 工作。例如，此原則不會授與您使用 Systems Manager 自動化指令的權限。若要對資源群組執行「Systems Manager」工作，您必須將「Systems Manager」權限附加至您的原則 (例如ssm:*)。如需有關授與 Systems Manager 存取權的詳細資訊，請參閱使AWS Systems Manager 用者指南中的〈設定 Systems Manager 存取權限〉

8. 選擇檢閱政策。

9. 為新政策提供名稱和描述 (例如，AWSResourceGroupsQueryAPIAccess)。

10. 選擇建立政策。

11. 現在，政策已儲存在 IAM 中，您可以將其附加到其他使用者。如需有關如何新增政策至使用者的詳細資訊，請參閱《IAM 使用者指南》中的透過將政策直接附加到使用者來新增許可。

進一步了解 AWS Resource Groups 授權和存取控制

Resource Groups 支援下列項目。

• 以動作為基礎的政策。例如，您可以建立允許使用者執行ListGroups作業，但不允許其他原則執行作業。

• 資源層級權限。Resource Groups 支援使用 ARN 來指定策略中的個別資源。

• 基於標籤的授權。Resource Groups 支援在策略的情況下使用資源標籤。例如，您可以建立一個策略，允許 Resource Groups 使用者完全存取您已標記的群組。

• 暫時性登入資料。使用者可以扮演具有允許 AWS Resource Groups 作業之策略的角色。

Resource Groups 不支援以資源為基礎的政策。

Resource Groups 不使用任何服務連結角色。

如需 Resource Groups 和標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊，請參閱AWS Identity and Access Management 使用者指南中的下列主題。

• AWS 與 IAM 搭配使用的服務

• 的動作、資源和條件索引鍵 AWS Resource Groups

• 使用原則控制存取