Impostazione delle autorizzazioni - AWS Resource Groups
Autorizzazioni per singoli servizi Autorizzazioni richieste per Resource Groups e Tag Editor

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle autorizzazioni

Per utilizzare appieno i gruppi di risorse e l'editor di tag, potrebbero essere necessarie ulteriori autorizzazioni per le risorse di tag o per visualizzare chiavi e valori di tag di una risorsa. Tali autorizzazioni sono suddivise nelle seguenti categorie:

  • Autorizzazioni per servizi singoli, che consentono di applicare tag alle risorse da tali servizi e includerle in gruppi di risorse.

  • Autorizzazioni necessarie per utilizzare la console Tag Editor

  • Autorizzazioni necessarie per utilizzare il AWS Resource Groups console e. API

Se sei un amministratore, puoi fornire le autorizzazioni agli utenti creando politiche tramite AWS Identity and Access Management (IAM) servizio. Per prima cosa crei i tuoi principali, come IAM ruoli o utenti, oppure associ identità esterne ai tuoi AWS ambiente che utilizza un servizio come AWS IAM Identity Center. Quindi applichi le politiche con le autorizzazioni di cui hanno bisogno i tuoi utenti. Per informazioni sulla creazione e l'associazione delle IAM politiche, consulta Lavorare con le politiche.

Autorizzazioni per singoli servizi

Importante

Questa sezione descrive le autorizzazioni necessarie per etichettare risorse da altre console di servizio e APIs aggiungere tali risorse ai gruppi di risorse.

Come descritto in Risorse e relativi tipi di gruppo, ciascun gruppo di risorse rappresenta una raccolta di risorse di tipi specificati che condividono uno o più valori o chiavi di tag. Per aggiungere tag a una risorsa, è necessario disporre delle autorizzazioni necessarie per il servizio a cui appartiene la risorsa. Ad esempio, per etichettare EC2 le istanze Amazon, devi disporre delle autorizzazioni per le azioni di tagging di quel servizioAPI, come quelle elencate nella Amazon EC2 User Guide.

Per sfruttare tutte le funzionalità dei gruppi di risorse, sono necessarie altre autorizzazioni che consentono di accedere alla console di un servizio e di interagire con le relative risorse. Per esempi di tali politiche per AmazonEC2, consulta la sezione Politiche di esempio per lavorare nella EC2 console Amazon nella Amazon EC2 User Guide.

Autorizzazioni richieste per Resource Groups e Tag Editor

Per utilizzare Resource Groups e Tag Editor, è necessario aggiungere le seguenti autorizzazioni all'informativa di un utente inIAM. È possibile aggiungere uno dei due AWS-politiche gestite che vengono gestite e mantenute up-to-date da AWS, oppure è possibile creare e mantenere una politica personalizzata.

Utilizzo AWS politiche gestite per le autorizzazioni Resource Groups e Tag Editor

AWS Resource Groups e Tag Editor supportano quanto segue AWS politiche gestite che è possibile utilizzare per fornire un set predefinito di autorizzazioni agli utenti. È possibile allegare queste politiche gestite a qualsiasi utente, ruolo o gruppo proprio come qualsiasi altra politica creata dall'utente.

ResourceGroupsandTagEditorReadOnlyAccess

Questa politica concede al IAM ruolo o all'utente associato l'autorizzazione a chiamare le operazioni di sola lettura sia per Resource Groups che per Tag Editor. Per leggere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata (vedi la seguente nota importante).

ResourceGroupsandTagEditorFullAccess

Questa politica concede al IAM ruolo o all'utente allegato l'autorizzazione a chiamare qualsiasi operazione Resource Groups e le operazioni di lettura e scrittura dei tag in Tag Editor. Per leggere o scrivere i tag di una risorsa, devi inoltre disporre delle autorizzazioni per quella risorsa tramite una politica separata (vedi la seguente Nota importante).

Importante

Le due politiche precedenti concedono il permesso di chiamare le operazioni Resource Groups e Tag Editor e utilizzare tali console. Per le operazioni di Resource Groups, tali policy sono sufficienti e concedono tutte le autorizzazioni necessarie per lavorare con qualsiasi risorsa nella console Resource Groups.

Tuttavia, per le operazioni di tagging e la console Tag Editor, le autorizzazioni sono più granulari. È necessario disporre delle autorizzazioni non solo per richiamare l'operazione, ma anche delle autorizzazioni appropriate per la risorsa specifica di cui si sta tentando di accedere ai tag. Per concedere l'accesso ai tag, devi anche allegare una delle seguenti politiche:

  • Il AWS-managed policy ReadOnlyAccessconcede le autorizzazioni per le operazioni di sola lettura per le risorse di ogni servizio. AWS mantiene automaticamente aggiornata questa politica con le nuove AWS servizi non appena diventano disponibili.

  • Molti servizi forniscono una modalità di sola lettura specifica AWS-policy gestite che è possibile utilizzare per limitare l'accesso solo alle risorse fornite da quel servizio. Ad esempio, Amazon EC2 fornisce Amazon EC2ReadOnlyAccess.

  • Potresti creare una politica personalizzata che conceda l'accesso solo a operazioni di sola lettura molto specifiche per i pochi servizi e risorse a cui desideri che i tuoi utenti accedano. Questa politica utilizza una strategia di «elenco consentito» o una strategia di elenco negato.

    Una strategia di elenco consentito sfrutta il fatto che l'accesso viene negato per impostazione predefinita fino a quando non lo si consente esplicitamente in una politica. Quindi puoi usare una politica come l'esempio seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    In alternativa, puoi utilizzare una strategia di «lista negata» che consente l'accesso a tutte le risorse tranne quelle che blocchi esplicitamente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

Aggiungere manualmente le autorizzazioni Resource Groups e Tag Editor

  • resource-groups:*(Questa autorizzazione consente tutte le azioni di Resource Groups. Se invece desideri limitare le azioni disponibili per un utente, puoi sostituire l'asterisco con un'azione specifica (Resource Groups) o con un elenco di azioni separate da virgole).

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

Nota

L'resource-groups:SearchResourcesautorizzazione consente a Tag Editor di elencare le risorse quando si filtra la ricerca utilizzando le chiavi o i valori dei tag.

L'resource-explorer:ListResourcesautorizzazione consente a Tag Editor di elencare le risorse quando si cercano risorse senza definire i tag di ricerca.

Per utilizzare Resource Groups e Tag Editor nella console, è inoltre necessaria l'autorizzazione per eseguire l'resource-groups:ListGroupResourcesazione. Questa autorizzazione è necessaria per elencare i tipi di risorse disponibili nella regione corrente. L'utilizzo di condizioni politiche con non resource-groups:ListGroupResources è attualmente supportato.