Menyiapkan izin - AWS Resource Groups
Izin untuk layanan individual Izin yang diperlukan untuk Resource Groups dan Tag Editor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan izin

Untuk memanfaatkan sepenuhnya Resource Groups dan Tag Editor, Anda mungkin memerlukan izin tambahan untuk menandai sumber daya atau untuk melihat kunci dan nilai tag sumber daya. Izin ini termasuk dalam kategori berikut:

  • Izin untuk layanan individual sehingga Anda dapat menandai sumber daya dari layanan tersebut dan memasukkannya ke dalam grup sumber daya.

  • Izin yang diperlukan untuk menggunakan konsol Editor Tag

  • Izin yang diperlukan untuk menggunakan AWS Resource Groups konsol danAPI.

Jika Anda seorang administrator, Anda dapat memberikan izin untuk pengguna Anda dengan membuat kebijakan melalui AWS Identity and Access Management (IAM) layanan. Pertama-tama Anda membuat kepala sekolah Anda, seperti IAM peran atau pengguna, atau mengaitkan identitas eksternal dengan AWS lingkungan menggunakan layanan seperti AWS IAM Identity Center. Kemudian Anda menerapkan kebijakan dengan izin yang dibutuhkan pengguna Anda. Untuk informasi tentang membuat dan melampirkan IAM kebijakan, lihat Bekerja dengan kebijakan.

Izin untuk layanan individual

penting

Bagian ini menjelaskan izin yang diperlukan jika Anda ingin menandai sumber daya dari konsol layanan lain dan APIs menambahkan sumber daya tersebut ke grup sumber daya.

Seperti dijelaskan dalamSumber daya dan jenis kelompoknya, setiap grup sumber daya mewakili kumpulan sumber daya dari jenis tertentu yang berbagi satu atau beberapa kunci tag atau nilai. Untuk menambahkan tag ke sumber daya, Anda memerlukan izin yang diperlukan untuk layanan yang menjadi sumber daya tersebut. Misalnya, untuk menandai EC2 instans Amazon, Anda harus memiliki izin untuk tindakan penandaan di layanan tersebutAPI, seperti yang tercantum dalam Panduan Pengguna Amazon EC2.

Untuk memanfaatkan sepenuhnya fitur Resource Groups, Anda memerlukan izin lain yang memungkinkan Anda mengakses konsol layanan dan berinteraksi dengan sumber daya di sana. Untuk contoh kebijakan tersebut untuk AmazonEC2, lihat Contoh kebijakan untuk bekerja di EC2 konsol Amazon di Panduan EC2 Pengguna Amazon.

Izin yang diperlukan untuk Resource Groups dan Tag Editor

Untuk menggunakan Resource Groups dan Tag Editor, izin berikut harus ditambahkan ke pernyataan kebijakan pengguna diIAM. Anda juga dapat menambahkan AWS Kebijakan terkelola yang dikelola dan dipelihara oleh up-to-date AWS, atau Anda dapat membuat dan memelihara kebijakan kustom Anda sendiri.

Penggunaan AWS kebijakan terkelola untuk Resource Groups dan izin Editor Tag

AWS Resource Groups dan Tag Editor mendukung hal berikut AWS kebijakan terkelola yang dapat Anda gunakan untuk memberikan seperangkat izin yang telah ditentukan sebelumnya kepada pengguna Anda. Anda dapat melampirkan kebijakan terkelola ini ke pengguna, peran, atau grup apa pun seperti kebijakan lain yang Anda buat.

ResourceGroupsandTagEditorReadOnlyAccess

Kebijakan ini memberikan IAM peran terlampir atau izin pengguna untuk memanggil operasi hanya-baca untuk Resource Groups dan Editor Tag. Untuk membaca tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

ResourceGroupsandTagEditorFullAccess

Kebijakan ini memberikan IAM peran terlampir atau izin pengguna untuk memanggil operasi Resource Groups dan operasi tag baca dan tulis di Editor Tag. Untuk membaca atau menulis tag sumber daya, Anda juga harus memiliki izin untuk sumber daya tersebut melalui kebijakan terpisah (lihat Catatan penting berikut).

penting

Dua kebijakan sebelumnya memberikan izin untuk memanggil operasi Resource Groups dan Tag Editor dan menggunakan konsol tersebut. Untuk operasi Resource Groups, kebijakan tersebut sudah memadai dan memberikan semua izin yang diperlukan untuk bekerja dengan sumber daya apa pun di konsol Resource Groups.

Namun, untuk operasi penandaan dan konsol Editor Tag, izin lebih terperinci. Anda harus memiliki izin tidak hanya untuk menjalankan operasi, tetapi juga izin yang sesuai untuk sumber daya tertentu yang tagnya Anda coba akses. Untuk memberikan akses ke tag, Anda juga harus melampirkan salah satu kebijakan berikut:

  • Bagian AWS Kebijakan terkelola ReadOnlyAccessmemberikan izin untuk operasi hanya-baca untuk setiap sumber daya layanan. AWS secara otomatis menjaga kebijakan ini tetap up to date dengan yang baru AWS layanan saat mereka tersedia.

  • Banyak layanan menyediakan read-only khusus layanan AWS Kebijakan terkelola yang dapat Anda gunakan untuk membatasi akses hanya ke sumber daya yang disediakan oleh layanan tersebut. Misalnya, Amazon EC2 menyediakan Amazon EC2ReadOnlyAccess.

  • Anda dapat membuat kebijakan Anda sendiri yang memberikan akses ke hanya operasi read-only yang sangat spesifik untuk beberapa layanan dan sumber daya yang Anda ingin pengguna Anda akses. Kebijakan ini menggunakan strategi “izinkan daftar” atau strategi daftar penolakan.

    Strategi daftar izinkan mengambil keuntungan dari fakta bahwa akses ditolak secara default sampai Anda secara eksplisit mengizinkannya dalam kebijakan. Jadi Anda dapat menggunakan kebijakan seperti contoh berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    Atau, Anda dapat menggunakan strategi “tolak daftar” yang memungkinkan akses ke semua sumber daya kecuali yang Anda blokir secara eksplisit.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Menambahkan izin Resource Groups dan Tag Editor secara manual

  • resource-groups:*(Izin ini memungkinkan semua tindakan Resource Groups. Jika Anda ingin membatasi tindakan yang tersedia bagi pengguna, Anda dapat mengganti tanda bintang dengan tindakan Resource Groups tertentu, atau ke daftar tindakan yang dipisahkan koma)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

catatan

resource-groups:SearchResourcesIzin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda memfilter pencarian menggunakan kunci tag atau nilai.

resource-explorer:ListResourcesIzin ini memungkinkan Editor Tag untuk mencantumkan sumber daya saat Anda mencari sumber daya tanpa menentukan tag penelusuran.

Untuk menggunakan Resource Groups dan Tag Editor di konsol, Anda juga memerlukan izin untuk menjalankan resource-groups:ListGroupResources tindakan. Izin ini diperlukan untuk mencantumkan jenis sumber daya yang tersedia di Wilayah saat ini. Menggunakan kondisi kebijakan dengan saat resource-groups:ListGroupResources ini tidak didukung.