设置权限 - AWS Resource Groups
面向单个服务的权限 Resource Groups 和标签编辑器所需的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:

  • 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。

  • 使用标签编辑器控制台所需的权限

  • 使用所需的权限 AWS Resource Groups 控制台和API。

如果您是管理员,则可以通过创建策略来为用户提供权限 AWS Identity and Access Management (IAM) 服务。您首先创建委托人,例如IAM角色或用户,或者将外部身份与您的用户相关联 AWS 使用诸如此类的服务的环境 AWS IAM Identity Center。 然后,您可以应用具有用户所需权限的策略。有关创建和附加IAM策略的信息,请参阅使用策略

面向单个服务的权限

重要

本节介绍在您想要标记来自其他服务控制台的资源并将APIs这些资源添加到资源组时所需的权限。

资源及其群组类型中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记亚马逊EC2实例,您必须拥有在该服务中执行标记操作的权限API,例如《亚马逊EC2用户指南》中列出的那些操作。

要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关亚马逊此类政策的示例EC2,请参阅《亚马逊EC2用户指南》中的亚马逊EC2控制台操作策略示例。

Resource Groups 和标签编辑器所需的权限

要使用 Resource Groups 和标签编辑器,必须将以下权限添加到中的用户策略声明中IAM。你可以添加任一项 AWS-由维护和保存 up-to-date 的托管策略 AWS,或者您可以创建和维护自己的自定义策略。

使用 AWS Resource Groups 和标签编辑器权限的托管策略

AWS Resource Groups 标签编辑器支持以下内容 AWS 托管策略,可用于向用户提供一组预定义的权限。您可以将这些托管策略附加到任何用户、角色或组,就像您创建的任何其他策略一样。

ResourceGroupsandTagEditorReadOnlyAccess

此策略向附加的IAM角色或用户授予对 Resource Groups 和标签编辑器调用只读操作的权限。要读取资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。

ResourceGroupsandTagEditorFullAccess

此策略向附加的IAM角色或用户授予在标签编辑器中调用任何 Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。

重要

前两项策略授予调用 Resource Groups 和标签编辑器操作以及使用这些控制台的权限。对于 Resource Groups 操作,这些策略已足够,并且会授予在资源组控制台中使用任何资源所需的所有权限。

但是,对于标记操作和标签编辑器控制台,权限更加精细。您不仅必须拥有调用该操作的权限,还必须拥有对您尝试访问其标签的特定资源的相应权限。要授予标签的访问权限,您还必须附加以下策略之一:

  • 这些区域有: AWS-managed 策略ReadOnlyAccess授予每个服务资源的只读操作权限。 AWS 自动使本政策与新政策保持同步 AWS 可用时提供的服务。

  • 许多服务都提供特定于服务的只读模式 AWS-托管策略,可用于限制仅访问该服务提供的资源。例如,亚马逊EC2提供亚马逊EC2ReadOnlyAccess

  • 您可以创建自己的策略,仅针对您希望用户访问的少数服务和资源授予非常具体的只读操作访问权限。此策略使用“允许列表”策略或拒绝列表策略。

    允许列表策略利用这样一个事实,即在策略中明确允许访问之前,默认情况下会拒绝访问。您可以使用以下示例的策略:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    或者,您可以使用“拒绝列表”策略,即允许访问除您明确阻止的资源之外的所有资源。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

手动添加 Resource Groups 和标签编辑器权限

  • resource-groups:*(此权限允许执行所有 Resource Groups 操作。 如果您想限制用户可用的操作,则可以将星号替换为特定的 Resource Groups 操作,或者替换为以逗号分隔的操作列表)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

注意

resource-groups:SearchResources权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。

resource-explorer:ListResources权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。

要在控制台中使用 Resource Groups 和标签编辑器,还需要运行 resource-groups:ListGroupResources 操作的权限。此权限是列出当前区域中可用资源类型所必需的条件。当前不支持使用带 resource-groups:ListGroupResources 的策略条件。