本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定許可
要充分利用標籤編輯器,您可能需要額外的權限來標記資源或查看資源的標籤鍵和值。這些權限分為下列類別:
-
個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。
-
使用「標籤編輯器」主控台所需的權限。
如果您是系統管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立原則,為使用者提供權限。您必須先建立IAM角色、使用者或群組,然後以所需的權限套用原則。如需有關建立和附加IAM原則的資訊,請參閱使用原則。
個別服務的權限
重要
本節說明如果您想要標記來自其他 AWS 服務主控台和的資源時所需的權限APIs。
若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您必須擁有該服務中標記操作的許可API,例如 Amazon EC2 CreateTags 操作。
使用「標籤編輯器」主控台所需的權限
若要使用「標籤編輯器」主控台列出和標記資源,必須在中將下列權限新增至使用者的政策陳述式IAM。您可以新增由維護並保持最新狀態的 AWS 受管理策略 AWS,也可以建立和維護自己的自訂原則。
對標籤編輯器權限使用 AWS 受管理策略
標籤編輯器支援下列 AWS 受管理的策略,您可以使用這些策略向使用者提供一組預先定義的權限。您可以將這些受管理的政策附加到任何角色、使用者或群組,就像您建立的任何其他原則一樣。
- ResourceGroupsandTagEditorReadOnlyAccess
-
此原則會授與附加的IAM角色或使用者權限,以呼叫 AWS Resource Groups 和標籤編輯器的唯讀作業。若要讀取資源的標籤,您還必須透過個別原則擁有該資源的權限。在以下重要注意事項中了解更多信息。
- ResourceGroupsandTagEditorFullAccess
-
此原則會授與附加的IAM角色或使用者權限,以便在標籤編輯器中呼叫任何 Resource Groups 作業以及讀取和寫入標籤作業。若要讀取或寫入資源的標籤,您還必須透過個別原則擁有該資源的權限。在以下重要注意事項中了解更多信息。
重要
先前的兩個原則授與呼叫「標籤編輯器」作業和使用「標籤編輯器」主控台的權限。但是,您不僅必須具有調用操作的權限,還必須具有對您嘗試訪問其標籤的特定資源的適當權限。若要授與該標籤存取權,您還必須附加下列其中一個原則:
-
受 AWS 管理的政策會ReadOnlyAccess
授與每個服務資源的唯讀作業的權限。 AWS 此政策在可用時自動保持最新狀態 AWS 服務 ,並保持最新狀態。 -
許多服務提供服務特定的唯讀 AWS 受管理策略,您可以使用這些策略來限制只存取該服務提供的資源。例如,Amazon EC2 提供 AmazonEC2ReadOnlyAccess
. -
您可以建立自己的原則,針對您希望使用者存取的少數服務和資源,僅授與特定唯讀作業的存取權。此原則會使用允許清單策略或拒絕清單策略。
允許清單策略利用預設拒絕存取的事實,直到您在原則中明確允許存取為止。因此,您可以使用類似下列範例的原則。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:*" ], "Resource": "<ARNs of resources to allow tagging>" } ] }
或者,您可以使用拒絕列表策略,允許訪問除了明確阻止的資源以外的所有資源。這需要一個單獨的策略,該策略適用於允許訪問的相關用戶。接著,下列範例政策會拒絕存取 Amazon 資源名稱 (ARN) 列出的特定資源。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "tag:*" ], "Resource": "<ARNs of resources to disallow tagging>" } ] }
手動新增標籤編輯器權限
-
tag:*
(此權限允許所有「標籤編輯器」動作。 如果您想要限制使用者可使用的動作,您可以使用特定動作或以逗號分隔的動作清單來取代星號。) -
tag:GetResources
-
tag:TagResources
-
tag:UntagResources
-
tag:getTagKeys
-
tag:getTagValues
-
resource-explorer:*
-
resource-groups:SearchResources
-
resource-groups:ListResourceTypes
注意
該resource-groups:SearchResources
權限允許標籤編輯器在您使用標籤鍵或值篩選搜尋時列出資源。
此resource-explorer:ListResources
權限允許「標籤編輯器」在您搜尋資源時列出資源,而不定義搜尋標籤。
授與使用標籤編輯器的權限
若要將使用 AWS Resource Groups 和標籤編輯器的原則新增至角色,請執行下列動作。
-
開啟主IAM控台至 [角色] 頁面
。 -
尋找您要授與「標籤編輯器」權限的角色。選擇角色的名稱以開啟角色的 [摘要] 頁面。
-
在 Permissions (許可) 標籤上,選擇 Add permissions (新增許可)。
-
選擇直接連接現有政策。
-
選擇建立政策。
-
在JSON索引標籤上,貼上下列原則陳述式。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*", "resource-groups:SearchResources", "resource-groups:ListResourceTypes" ], "Resource": "*" } ] }
注意
此範例原則陳述式會授與僅執行「標籤編輯器」動作的權限。
-
選擇 Next: Tags (下一步:標籤),然後選擇 Next: Review (下一步:檢閱)。
-
輸入新策略的名稱和描述。例如
AWSTaggingAccess
。 -
選擇建立政策。
現在原則已儲存於中IAM,您可以將其附加至其他主參與者,例如角色、群組或使用者。如需如何將原則新增至主參與者的詳細資訊,請參閱IAM使用者指南中的新增和移除IAM身分識別權限。
基於標籤的授權和訪問控制
AWS 服務 支持以下內容:
-
以動作為基礎的策略 — 例如,您可以建立允許使用者執行
GetTagKeys
或GetTagValues
作業的策略,但不允許其他使用者執行。 -
策略中的資源層級權限 — 許多服務支援用ARNs來指定策略中的個別資源。
-
以標籤為基礎的授權 — 許多服務支援在策略條件下使用資源標籤。例如,您可以建立一個策略,允許使用者完全存取與使用者具有相同標記的群組。如需詳細資訊,請參閱有什麼ABAC用途 AWS? 在《AWS Identity and Access Management 使用者指南》中。
-
暫時認證 — 使用者可以扮演具有允許標籤編輯器作業之策略的角色。
標籤編輯器不使用任何服務連結角色。
如需有關標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊,請參閱《AWS Identity and Access Management 使用指南》中的以下主題: