Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen einrichten
Um Ressourcengruppen und Tag Editor vollständig nutzen zu können, benötigen Sie möglicherweise zusätzliche Berechtigungen für das Markieren von Ressourcen oder die Anzeige der Tag-Schlüssel und -Werte einer Ressource. Diese Berechtigungen gehören folgenden Kategorien an:
-
Berechtigungen für einzelne Services, sodass Sie Ressourcen aus diesen Services mit einem Tag markieren und in Ressourcengruppen einfügen können.
-
Berechtigungen, die für die Verwendung der Tag Editor-Konsole erforderlich sind
-
Berechtigungen, die für die Verwendung von erforderlich sind AWS Resource Groups Konsole undAPI.
Wenn Sie ein Administrator sind, können Sie Ihren Benutzern Berechtigungen gewähren, indem Sie Richtlinien über die AWS Identity and Access Management (IAM) Dienst. Sie erstellen zunächst Ihre Prinzipale, wie IAM Rollen oder Benutzer, oder verknüpfen externe Identitäten mit Ihren AWS Umgebung, die einen Dienst verwendet wie AWS IAM Identity Center. Anschließend wenden Sie Richtlinien mit den Berechtigungen an, die Ihre Benutzer benötigen. Informationen zum Erstellen und Anhängen von IAM Richtlinien finden Sie unter Mit Richtlinien arbeiten.
Berechtigungen für einzelne Dienste
Wichtig
In diesem Abschnitt werden die Berechtigungen beschrieben, die erforderlich sind, wenn Sie Ressourcen von anderen Servicekonsolen APIs taggen und diese Ressourcen zu Ressourcengruppen hinzufügen möchten.
Wie in Ressourcen und ihre Gruppentypen beschrieben, stellt jede Ressourcengruppe eine Sammlung von Ressourcen mit angegebenen Typen dar, denen mindestens ein Tag-Schlüssel oder -Wert gemeinsam ist. Um Tags zu einer Ressource hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen für den Service, zu dem die Ressource gehört. Um beispielsweise EC2 Amazon-Instances zu taggen, müssen Sie über Berechtigungen für die Tagging-Aktionen in diesen Services verfügenAPI, wie sie beispielsweise im EC2Amazon-Benutzerhandbuch aufgeführt sind.
Um die Ressourcengruppenfunktion vollständig nutzen zu können, benötigen Sie weitere Berechtigungen, die Ihnen den Zugriff auf die Konsole eines Service und die Interaktion mit den dort vorhandenen Ressourcen ermöglichen. Beispiele für solche Richtlinien für Amazon EC2 finden Sie unter Beispielrichtlinien für die Arbeit in der EC2 Amazon-Konsole im EC2Amazon-Benutzerhandbuch.
Erforderliche Berechtigungen für Resource Groups und Tag-Editor
Um Resource Groups und den Tag Editor verwenden zu können, müssen die folgenden Berechtigungen zur Richtlinienerklärung eines Benutzers in hinzugefügt werdenIAM. Sie können entweder hinzufügen AWS-verwaltete Richtlinien, die verwaltet und eingehalten up-to-date werden von AWS, oder Sie können Ihre eigene benutzerdefinierte Richtlinie erstellen und verwalten.
Die Verwendung von AWS verwaltete Richtlinien für Resource Groups und Tag-Editor-Berechtigungen
AWS Resource Groups und Tag Editor unterstützen Folgendes AWS verwaltete Richtlinien, mit denen Sie Ihren Benutzern einen vordefinierten Satz von Berechtigungen gewähren können. Sie können diese verwalteten Richtlinien jedem Benutzer, jeder Rolle oder Gruppe zuordnen, genau wie jede andere Richtlinie, die Sie erstellen.
- ResourceGroupsandTagEditorReadOnlyAccess
-
Diese Richtlinie gewährt der angehängten IAM Rolle oder dem angehängten Benutzer die Berechtigung, die schreibgeschützten Operationen sowohl für Resource Groups als auch für den Tag-Editor aufzurufen. Um die Tags einer Ressource lesen zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen (siehe den folgenden wichtigen Hinweis).
- ResourceGroupsandTagEditorFullAccess
-
Diese Richtlinie gewährt der angehängten IAM Rolle oder dem Benutzer die Berechtigung, alle Ressourcengruppen-Operationen sowie die Lese- und Schreib-Tag-Operationen im Tag Editor aufzurufen. Um die Tags einer Ressource lesen oder schreiben zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen (siehe den folgenden wichtigen Hinweis).
Wichtig
Die beiden vorherigen Richtlinien gewähren die Erlaubnis, die Operationen Resource Groups und Tag Editor aufzurufen und diese Konsolen zu verwenden. Für Ressourcengruppenoperationen sind diese Richtlinien ausreichend und gewähren alle Berechtigungen, die für die Arbeit mit einer Ressource in der Resource Groups-Konsole erforderlich sind.
Für Tagging-Operationen und die Tag Editor-Konsole sind die Berechtigungen jedoch detaillierter. Sie müssen nicht nur über die erforderlichen Berechtigungen zum Aufrufen des Vorgangs verfügen, sondern auch über die entsprechenden Berechtigungen für die spezifische Ressource, auf deren Tags Sie zugreifen möchten. Um diesen Zugriff auf die Tags zu gewähren, müssen Sie außerdem eine der folgenden Richtlinien anhängen:
-
Das Tool AWS-Eine verwaltete Richtlinie ReadOnlyAccess
gewährt Berechtigungen für schreibgeschützte Operationen für die Ressourcen aller Dienste. AWS hält diese Richtlinie automatisch auf dem neuesten Stand. AWS Dienste, sobald sie verfügbar sind. -
Viele Dienste bieten einen dienstspezifischen Schreibschutz AWS-verwaltete Richtlinien, mit denen Sie den Zugriff nur auf die von diesem Dienst bereitgestellten Ressourcen beschränken können. Amazon EC2 stellt beispielsweise Amazon
zur VerfügungEC2ReadOnlyAccess. -
Sie könnten Ihre eigene Richtlinie erstellen, die nur Zugriff auf die ganz bestimmten schreibgeschützten Operationen für die wenigen Dienste und Ressourcen gewährt, auf die Ihre Benutzer zugreifen sollen. Diese Richtlinie verwendet entweder eine „Zulassungsliste“ -Strategie oder eine Ablehnungslistenstrategie.
Eine Strategie für Zulassungslisten macht sich die Tatsache zunutze, dass der Zugriff standardmäßig verweigert wird, bis Sie ihn in einer Richtlinie ausdrücklich zulassen. Sie können also eine Richtlinie wie das folgende Beispiel verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }Alternativ könnten Sie eine „Deny-List“ -Strategie verwenden, die den Zugriff auf alle Ressourcen ermöglicht, mit Ausnahme der Ressourcen, die Sie explizit blockieren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-groups:*" ], "Resource": "arn:aws:resource-groups:*:123456789012:group/*" } ] }
Manuelles Hinzufügen von Resource Groups und Tag-Editor-Berechtigungen
-
resource-groups:*(Diese Berechtigung ermöglicht alle Ressourcengruppen-Aktionen. Wenn Sie stattdessen Aktionen einschränken möchten, die einem Benutzer zur Verfügung stehen, können Sie das Sternchen durch eine bestimmte Ressourcengruppen-Aktion oder durch eine kommagetrennte Liste von Aktionen ersetzen. -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
tag:GetResources -
tag:TagResources -
tag:UntagResources -
tag:getTagKeys -
tag:getTagValues -
resource-explorer:*
Anmerkung
Mit dieser resource-groups:SearchResources Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie Ihre Suche anhand von Tagschlüsseln oder -werten filtern.
Mit dieser resource-explorer:ListResources Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie nach Ressourcen suchen, ohne Such-Tags zu definieren.
Um Resource Groups und den Tag Editor in der Konsole zu verwenden, benötigen Sie außerdem die Erlaubnis, die resource-groups:ListGroupResources Aktion auszuführen. Diese Berechtigung ist erforderlich, um verfügbare Ressourcentypen in der aktuellen Region aufzulisten. Die Verwendung von Richtlinienbedingungen mit resource-groups:ListGroupResources wird derzeit nicht unterstützt.
