本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
资源管理器的术语和概念
AWS 资源探索器 是一项资源搜索和发现服务。借助资源管理器,您可以通过使用类似互联网搜索引擎的体验来探索您的资源。您可以使用类似名称、标签和 ID 的资源元数据来搜索您的资源,例如 Amazon Elastic Compute Cloud 表、Amazon Kinesis 流或 Amazon DynamoDB 表。资源管理器可在您的账户中跨 AWS 区域 运行,以简化您的跨区域工作负载。
资源管理器使用由 AWS 资源探索器 服务创建和维护的索引来快速响应您的搜索查询。资源管理器使用各种数据来源来收集有关您的 AWS 账户 中的资源的信息。资源管理器将这些信息存储在索引中,供资源管理器搜索。
要想为用户成功管理和配置 AWS 资源探索器,您应该了解以下概念。
下图显示了管理员在其中开启资源管理器的三个 AWS 区域,以及管理员选择不开启的一个区域。未开启资源管理器的区域没有索引。因此,资源管理器查询无法搜索其资源。
在此示例场景中,管理员选择了美国西部(俄勒冈州)区域(us-west-2
)来包含该账户的聚合器索引。您开启的所有区域都将其本地索引复制到包含聚合器索引的区域。
资源管理器创建的默认视图没有任何筛选条件。因此,使用此视图进行搜索的结果可以包括开启资源管理器的账户中所有区域中的任何类型的资源。
图例 | |
此 AWS 区域 中已开启资源管理器,有关该区域资源的信息存储在该区域的本地索引中。每个区域的本地索引(由箭头指示)也被复制到包含聚合器索引的区域中。 | |
AWS 区域 中的索引被配置为账户的聚合器索引。资源管理器将在已开启资源管理器的所有其他区域中的本地索引中收集的信息复制到该区域中的聚合器索引。在该区域进行的搜索可以包括账户中所有区域的结果。 | |
快速设置功能创建的默认视图包含所有 AWS 区域 中的所有资源。 |
资源管理器管理员
资源管理器管理员是一个 AWS Identity and Access Management(IAM)主体,该主体有权管理资源管理器及其在 AWS 账户 或。资源管理器管理员可以配置以下功能:
-
通过在这些区域中创建索引,为 AWS 账户 中的各个 AWS 区域 开启资源管理器。这样,资源管理器就可以发现资源并在索引中填充有关这些资源的信息,以便用户可以在该区域中搜索资源。
-
更新一个 AWS 区域 中的索引类型,使其成为其 AWS 账户 的聚合器索引。该区域中的聚合器索引会接收资源信息的复制副本,资料信息来自已开启资源管理器的账户中所有其他区域。
-
创建视图,定义用户可以在资源管理器中搜索和发现的索引信息子集。
-
虽然不是资源管理器操作的一部分,但资源管理器管理员还必须能够向账户中的主体授予搜索权限。管理员可以通过向现有 IAM 权限策略添加相关权限,或使用资源管理器只读 AWS 托管策略,向主体授予这些权限。
要提供访问权限,请为您的用户、群组或角色添加权限:
-
AWS IAM Identity Center 中的用户和群组:
创建权限集。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以代入的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户群组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
-
管理员通常拥有所有资源管理器资源(包括索引和视图)的所有资源管理器权限(resource-explorer-2:*
)。可以使用资源管理器完全访问 AWS 托管策略来授予这些权限。
资源管理器用户
资源管理器用户是有权执行以下一项或多项任务的 IAM 主体:
-
通过使用视图查询资源管理器来搜索资源。资源管理器用户想要发现和查找 AWS 资源,通常使用资源管理器控制台或 AWS SDK 或 AWS CLI 提供的资源管理器
Search
操作。角色或用户可以使用 IAM 获取通过以下两种方法之一进行搜索的权限:
-
一个 IAM 权限策略,其语句包含对 IAM 角色、组或用户的以下最低权限。
{ "Effect": "Allow", "Action": [ "resource-explorer-2:Search", "resource-explorer-2:GetView", "Resource": "
<ARN of the view>
" }
-
您可以将定义创建视图的权限委托给受信任的用户,尽管这通常被视为管理员任务。为此,管理员可以在附加到相关角色、组或用户的 IAM 权限策略中授予调用
resource-explorer-2:CreateView
操作的权限。如果视图需要特定权限,则必须为相关用户提供添加或修改 IAM policy 的配置。
有关如何使用资源管理器搜索资源的信息,请参阅 使用 AWS 资源探索器 搜索资源。
索引
索引是有关 AWS 账户 中的一个 AWS 区域 中所有 AWS 资源的信息集合,由资源管理器维护。资源管理器在您开启资源管理器的每个区域中维护一个索引。当您在 AWS 账户 中创建和删除资源时,资源管理器会自动更新索引。在前面的图表中,AWS 区域 名称下方的方框表示每个 AWS 区域 中维护的资源管理器索引。某个区域中的索引是在该区域中创建的任何视图的信息来源。用户不能直接查询索引。反之,他们必须始终使用视图进行查询。
有两种类型的索引:
- 本地索引
-
开启资源管理器的每个 AWS 区域 中都有一个本地索引。本地索引仅包含有关同一区域中的资源的信息。
- 聚合器索引
-
资源管理器管理员还可以将一个 AWS 区域 中的索引指定为 AWS 账户 的聚合器索引。聚合器索引接收并存储账户中所有其他开启资源管理器的区域的索引副本。聚合器索引还接收和存储有关其自己区域中的资源的信息。在前面的图表中,区域
us-west-2
包含账户的聚合器索引。为账户指定聚合器索引的主要原因是,您可以创建包含账户中所有区域的资源的视图。一个 AWS 账户 中只能有一个聚合器索引。开启资源管理器后,您可以指定哪个 AWS 区域 将包含聚合器索引。您也可以稍后更改聚合器索引所用的 AWS 区域。有关如何提升本地索引以使其成为其 AWS 账户 的聚合器索引的信息,请参阅 通过创建聚合器索引开启跨区域搜索。
索引是具有 Amazon 资源名称(ARN)的资源。但是,您只能在权限策略中使用此 ARN 来授予对直接与索引交互的操作的访问权限。通过这些操作,您可以创建视图并将其设置为区域中的默认视图,在区域中开启或关闭资源管理器,并为该账户创建聚合器索引。索引的 ARN 与以下示例类似:
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
查看
视图是用于查询索引中列出的资源的机制。该视图用于定义索引中哪些信息可见,哪些信息可用于搜索和发现。用户从不直接查询资源管理器索引。相反,查询必须始终通过视图进行,该视图允许视图创建者限制用户可以在搜索结果中看到哪些资源。
创建视图时,您可以指定筛选条件来限制搜索结果中包含哪些资源。例如,您可以选择仅包含少数指定资源类型的资源,这些资源由您向其授予该视图访问权限的用户使用。始终会自动筛选用户使用视图进行查询的结果,以仅包括与视图标准相匹配的资源。
要授予使用视图的访问权限,您可以使用以下方法之一分配权限。
要提供访问权限,请为您的用户、群组或角色添加权限:
-
AWS IAM Identity Center 中的用户和群组:
创建权限集。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以代入的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户群组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
授予权限,以允许您的角色、组或用户对由 Amazon 资源名称(ARN)标识的视图调用 resource-explorer-2:GetView
和 resource-explorer-2:Search
操作。或者,您可以对所有需要使用该视图进行搜索的主体使用资源管理器只读 AWS 托管策略。您可以创建具有不同筛选条件和范围的多个视图,从而返回资源信息的不同子集。然后,您可以向用户授予对每个视图的权限,这些用户需要查看该视图的结果中包含的信息。
要使用资源管理器进行搜索,每个用户都必须拥有至少使用一个视图的权限。如果不使用视图,您就无法在资源管理器中执行搜索。
视图基于每个区域进行存储。视图只能访问该 AWS 区域 中的资源管理器索引。要访问账户范围内的搜索结果,您必须使用包含该账户的聚合器索引的区域中的视图。快速设置功能选项在 AWS 区域 中创建默认视图,其中包含聚合器索引和和包含账户在所有 AWS 区域 中使用的所有资源的筛选条件。
有关如何创建视图的信息,请参阅 管理资源管理器视图以提供搜索访问权限。有关如何在查询中使用视图的信息,请参阅 使用 AWS 资源探索器 搜索资源。
每个视图都有一个 Amazon 资源名称(ARN),您可以在权限策略中引用该名称来授予对单个视图的访问权限。您还可以将某个视图的 ARN 作为参数传递给与视图交互的任何 API 或 AWS CLI 操作。视图的 ARN 与以下示例类似。
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-View-Name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
注意
每个视图 ARN 的末尾都包含一个由 AWS 生成的 UUID。这有助于确保用户无法自动访问使用相同名称创建的新视图,而这些用户可能有权使用已删除的特定名称对视图进行访问。
资源
资源是您可以使用的 AWS 中的实体。资源由 AWS 服务 在您使用服务的功能时创建。示例包括 Amazon EC2 实例、Amazon S3 存储桶或 AWS CloudFormation 堆栈。某些资源类型可能包含客户数据。所有资源类型都有描述资源的属性或元数据,包括名称、描述和您用来唯一引用资源的 Amazon 资源名称(ARN)。大多数资源类型还支持标签。标签是您可以出于各种目的附加到资源的自定义元数据,例如账单中的成本分配、使用基于属性的访问控制进行安全授权,或者支持您的其他分类需求。
资源管理器的主要目的是帮助您找到您的 AWS 账户 中存在的资源。资源管理器使用各种技术来发现您的所有资源,并将有关这些资源的信息放在索引中。然后,您可以通过管理员为您提供的任何视图来查询索引。
重要
资源管理器故意排除那些包含会暴露客户数据的资源类型。以下资源类型不会被资源管理器编入索引,因此搜索结果中不会返回这些资源类型。
-
存储桶内包含的 Amazon S3 对象
-
Amazon DynamoDB 表项目
-
DynamoDB 属性值
AWS Management Console 中的统一搜索
在每个 AWS 服务 中的 AWS Management Console 顶部都有一个搜索栏,您可以用它来搜索与 AWS 相关的各种内容。您可以搜索服务和功能,并在该服务的控制台中获得直接到相关页面的链接。您还可以搜索与您的搜索词相关的文档和博客文章。
开启资源管理器并创建聚合器索引和默认视图后,统一搜索还可以在搜索结果中包含您账户的资源。统一搜索会自动使用包含账户聚合器索引的 AWS 区域 中的默认视图。这使您可以从 AWS Management Console 中的任何页面搜索资源,而不必先打开资源管理器。如果您没有将本地索引提升为账户的聚合器索引,或者您没有在聚合器索引区域中创建默认视图,则统一搜索的搜索结果中不会包含资源。此外,任何执行搜索的主体必须有权使用包含聚合器索引的区域中的默认视图,否则统一搜索的搜索结果中不包含资源。
重要
统一搜索会自动在字符串中第一个关键字的末尾插入通配符(*
)运算符。这意味着统一的搜索结果包括与任何以指定关键字开头的字符串相匹配的资源。
通过查询文本框,在资源管理器控制台的资源搜索*
。
有关统一搜索及其与资源管理器集成的更多信息,请参阅 在 AWS Management Console 中使用统一搜索。
多账户搜索
通过多账户搜索,您可以通过单个关键字搜索跨 AWS Organizations 和 AWS 区域 搜索和发现资源。
有关多账户搜索以及如何为资源管理器启用多账户搜索的更多信息,请参阅 开启多账户搜索。