Resource Groups 的安全最佳实践

使用最低权限授予组访问权限的原则。Resource Groups 支持资源级权限。仅在特定用户需要时才授予特定组的访问权限。避免在向所有用户或所有组分配权限的策略声明中使用星号。有关最低权限的更多信息，请参阅 IAM 用户指南中的授予最低权限。

避免在公共字段中包含私有信息。组的名称视为服务元数据。组名称未加密。请勿在组名称中输入敏感信息。组描述是私有信息。

请勿在标签键或标签值中放入私有或敏感信息。

在适当时使用基于标记的授权。Resource Groups 支持基于标签的授权。您可以为组添加标签，然后更新附加到您的 IAM 主体（例如用户和角色）的策略，以根据应用于组的标签来设置其访问级别。有关如何使用基于标签的授权的更多信息，请参阅 IAM 用户指南中的使用 AWS 资源标签控制对资源的访问权限。

许多 AWS 服务都支持基于其资源的标签进行授权。请注意，可能会为组中的成员资源配置基于标签的授权。如果对组资源的访问受到标签的限制，则未经授权的用户或组可能无法对这些资源执行操作或自动化。例如，如果您的一个组中的某个 Amazon EC2 实例的Confidentiality标签键为，标签值为High，并且您无权对已标记的资源运行命令Confidentiality:High，则即使资源组中的其他资源成功执行操作，您对该 EC2 实例执行的操作或自动化也将失败。有关哪些服务支持对其资源进行基于标签的授权的更多信息，请参阅 IAM 用户指南中的与 IAM 配合使用的AWS 服务。

有关为 AWS 资源制定标签策略的更多信息，请参阅AWS 标记策略。