設定許可 - 標記 AWS 資源和標籤編輯器
個別服務的權限 使用「標籤編輯器」主控台所需的權限授與使用標籤編輯器的權限基於標籤的授權和訪問控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定許可

要充分利用標籤編輯器,您可能需要額外的權限來標記資源或查看資源的標籤鍵和值。這些權限分為下列類別:

  • 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。

  • 使用「標籤編輯器」主控台所需的權限。

如果您是系統管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立原則,為使用者提供權限。您必須先建立IAM角色、使用者或群組,然後以所需的權限套用原則。如需有關建立和附加IAM原則的資訊,請參閱使用原則

個別服務的權限

重要

本節說明如果您想要標記來自其他 AWS 服務主控台和的資源時所需的權限APIs。

若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您必須擁有該服務中標記操作的許可API,例如 Amazon EC2 CreateTags 操作。

使用「標籤編輯器」主控台所需的權限

若要使用「標籤編輯器」主控台列出和標記資源,必須在中將下列權限新增至使用者的政策陳述式IAM。您可以新增由維護並保持最新狀態的 AWS 受管理策略 AWS,也可以建立和維護自己的自訂原則。

對標籤編輯器權限使用 AWS 受管理策略

標籤編輯器支援下列 AWS 受管理的策略,您可以使用這些策略向使用者提供一組預先定義的權限。您可以將這些受管理的政策附加到任何角色、使用者或群組,就像您建立的任何其他原則一樣。

ResourceGroupsandTagEditorReadOnlyAccess

此原則會授與附加的IAM角色或使用者權限,以呼叫 AWS Resource Groups 和標籤編輯器的唯讀作業。若要讀取資源的標籤,您還必須透過個別原則擁有該資源的權限。在以下重要注意事項中了解更多信息。

ResourceGroupsandTagEditorFullAccess

此原則會授與附加的IAM角色或使用者權限,以便在標籤編輯器中呼叫任何 Resource Groups 作業以及讀取和寫入標籤作業。若要讀取或寫入資源的標籤,您還必須透過個別原則擁有該資源的權限。在以下重要注意事項中了解更多信息。

重要

先前的兩個原則授與呼叫「標籤編輯器」作業和使用「標籤編輯器」主控台的權限。但是,您不僅必須具有調用操作的權限,還必須具有對您嘗試訪問其標籤的特定資源的適當權限。若要授與該標籤存取權,您還必須附加下列其中一個原則:

  • 受 AWS 管理的政策會ReadOnlyAccess授與每個服務資源的唯讀作業的權限。 AWS 此政策在可用時自動保持最新狀態 AWS 服務 ,並保持最新狀態。

  • 許多服務提供服務特定的唯讀 AWS 受管理策略,您可以使用這些策略來限制只存取該服務提供的資源。例如,Amazon EC2 提供 AmazonEC2ReadOnlyAccess.

  • 您可以建立自己的原則,針對您希望使用者存取的少數服務和資源,僅授與特定唯讀作業的存取權。此原則會使用允許清單策略或拒絕清單策略。

    允許清單策略利用預設拒絕存取的事實,直到您在原則中明確允許存取為止。因此,您可以使用類似下列範例的原則。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "tag:*" ],
            "Resource": "<ARNs of resources to allow tagging>"
        }
    ]
}

    或者,您可以使用拒絕列表策略,允許訪問除了明確阻止的資源以外的所有資源。這需要一個單獨的策略,該策略適用於允許訪問的相關用戶。接著,下列範例政策會拒絕存取 Amazon 資源名稱 (ARN) 列出的特定資源。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "tag:*" ],
            "Resource": "<ARNs of resources to disallow tagging>"
        }
    ]
}

手動新增標籤編輯器權限

  • tag:*(此權限允許所有「標籤編輯器」動作。 如果您想要限制使用者可使用的動作,您可以使用特定動作或以逗號分隔的動作清單來取代星號。)

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

  • resource-groups:SearchResources

  • resource-groups:ListResourceTypes

注意

resource-groups:SearchResources權限允許標籤編輯器在您使用標籤鍵或值篩選搜尋時列出資源。

resource-explorer:ListResources權限允許「標籤編輯器」在您搜尋資源時列出資源,而不定義搜尋標籤。

授與使用標籤編輯器的權限

若要將使用 AWS Resource Groups 和標籤編輯器的原則新增至角色,請執行下列動作。

  1. 開啟主IAM控台至 [角色] 頁面

  2. 尋找您要授與「標籤編輯器」權限的角色。選擇角色的名稱以開啟角色的 [摘要] 頁面。

  3. Permissions (許可) 標籤上,選擇 Add permissions (新增許可)

  4. 選擇直接連接現有政策

  5. 選擇建立政策

  6. JSON索引標籤上,貼上下列原則陳述式。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tag:GetResources",
        "tag:TagResources",
        "tag:UntagResources",
        "tag:getTagKeys",
        "tag:getTagValues",
        "resource-explorer:*",
        "resource-groups:SearchResources",
        "resource-groups:ListResourceTypes"
      ],
      "Resource": "*"
    }
  ]
}
    注意

    此範例原則陳述式會授與僅執行「標籤編輯器」動作的權限。

  7. 選擇 Next: Tags (下一步:標籤),然後選擇 Next: Review (下一步:檢閱)。

  8. 輸入新策略的名稱和描述。例如 AWSTaggingAccess

  9. 選擇建立政策

現在原則已儲存於中IAM,您可以將其附加至其他主參與者,例如角色、群組或使用者。如需如何將原則新增至主參與者的詳細資訊,請參閱IAM使用者指南中的新增和移除IAM身分識別權限

基於標籤的授權和訪問控制

AWS 服務 支持以下內容:

  • 動作為基礎的策略 — 例如,您可以建立允許使用者執行GetTagKeysGetTagValues作業的策略,但不允許其他使用者執行。

  • 策略中的資源層級權限 — 許多服務支援用ARNs來指定策略中的個別資源。

  • 標籤為基礎的授權 — 許多服務支援在策略條件下使用資源標籤。例如,您可以建立一個策略,允許使用者完全存取與使用者具有相同標記的群組。如需詳細資訊,請參閱有什麼ABAC用途 AWS?《AWS Identity and Access Management 使用者指南》中。

  • 暫時認證 — 使用者可以扮演具有允許標籤編輯器作業之策略的角色。

標籤編輯器不使用任何服務連結角色。

如需有關標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊,請參閱《AWS Identity and Access Management 使用指南》中的以下主題: