创建用于搜索的资源管理器视图 - AWS 资源探索器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建用于搜索的资源管理器视图

所有搜索都必须使用视图。视图定义用于确定使用该视图的查询可以返回哪些资源的筛选条件。视图还可以控制谁能搜索资源。

视图存储在中 AWS 区域,仅返回来自该区域索引的搜索结果。如果区域包含聚合器索引,则视图会返回账户中每个区域中的索引的搜索结果。

多账户视图使您能够在组织内的账户中搜索资源。您要搜索的任何账户都需要索引。只有组织的管理账户或委派管理员才能创建多账户视图。

AWS 资源探索器 如果您在 Systems Manager 控制台的 “资源浏览器的快速设置” 或 “高级设置” 中选择了相关选项,则可以在初始设置期间为您创建默认视图。之后,您可以为不同的用户组创建具有不同筛选条件的其他视图。

您可以使用或在 AWS SDK 中运行 AWS CLI 命令 AWS Management Console 或其等效的 API 操作来创建视图。

最小权限

要运行此过程,您必须具有以下权限:

  • 操作:resource-explorer-2:CreateView

    资源:这可以是*为了允许在账户中的任何一个 AWS 区域 中创建视图。

AWS Management Console
要创建视图

  1. 打开资源管理器控制台的视图页面,然后选择创建视图

  2. 创建视图页面上,在名称中,输入视图的名称。

    名称长度不得超过 64 个字符,可以包含字母、数字和连字符(-)。该名称在其内部必须是唯一的 AWS 区域。

  3. 选择要 AWS 区域 在其中创建视图的。要创建从账户中所有区域返回资源的视图,请选择 AWS 区域 包含聚合器索引的。

  4. (可选)在范围中,选择您的搜索是返回多账户资源,还是仅返回账户中的资源。账户级范围为默认范围。

    只有管理账户或委派管理员才能看到创建多账户视图的选项。

  5. 选择是否筛选结果。

    • 包含所有资源

      不包含任何查询筛选条件。与视图关联的索引中的所有资源都可以返回在搜索结果中。

    • 仅包含与指定筛选条件相匹配的资源

      开启资源筛选条件复选框,您可以在其中选择筛选条件名称运算符。有关每个可用筛选条件名称和运算符的说明,请参阅 筛选条件

    • 选择要在此视图的结果中包含的可选资源属性。选中标签旁边的复选框,以使用户根据其标签键名称和值搜索资源。如果您未在视图中包含标签,则用户无法使用标签键和值进一步筛选结果来提出搜索请求。

    • 或者,您可以将标签附加到视图。展开标签框,最多输入 50 个标签键/值对。您可以使用标签对资源进行分类,也可以将其作为基于属性的访问权限控制(ABAC)安全权限策略的一部分。有关更多信息,请参阅 向视图添加标签

    • 选择创建视图

    控制台返回到搜索页面,您可以在其中使用新视图进行搜索。

    下一步:向账户中的主体授予使用新视图进行搜索的权限。有关更多信息,请参阅 授予对资源管理器视图的访问权限以进行搜索

AWS CLI
要创建视图

运行以下命令以在指定的 AWS 区域中创建一个视图。以下示例创建了一个视图,该视图仅返回与 Amazon EC2 服务相关且用 Stage 键和 prod 值标记的资源。

$ aws resource-explorer-2 create-view \
    --region us-west-2 \
    --view-name "My-EC2-Prod-Resources" \
    --filters FilterString="service:ec2 tag:stage=prod" \
    --included-properties Name=tags
{
    "View": {
        "Filters": {
            "FilterString": "service:ec2 tag:stage=prod"
        },
        "IncludedProperties": [
            {
                "Name": "tags"
            }
        ],
        "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
        "Owner": "123456789012",
        "Scope": "arn:aws:iam::123456789012:root",
        "ViewArn": "arn:aws:resource-explorer-2:us-west-2:123456789012:view/My-EC2-Prod-Resources/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
    }
}
要创建组织级视图

下面的示例创建一个视图,该视图用于返回组织内资源。该操作必须由组织的管理账户或委派管理员账户执行。

  1. 运行 aws organizations describe-organization 命令以获取您的组织 ARN。

  2. 运行以下命令以为指定的组织创建视图。

    $ aws resource-explorer-2 create-view \
    --region us-west-2 \
    --view-name entire-org-view \
    --scope "arn:aws:organizations::111111111111:organization/o-exampleorgid"
{
    "View": {
        "Filters": {
            "FilterString": ""
        },
        "IncludedProperties": [],
        "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
        "Owner": "111111111111",
        "Scope": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
        "ViewArn": "arn:aws:resource-explorer-2:us-west-2:111111111111:view/entire-org-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
    }
}
要创建组织单位级视图

以下示例创建了一个视图,该视图可返回该组织单位的所有成员的资源。此视图的行为类似于组织级视图。该操作必须由组织的管理账户或委派管理员账户执行。

  1. 运行 aws organizations describe-organizational-unit 命令以获取您的组织 ARN。

  2. 运行以下命令以为指定的组织单位创建视图。

    $ aws resource-explorer-2 create-view \
    --region us-west-2 \
    --view-name entire-ou-view \
    --scope "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid"
{
    "View": {
        "Filters": {
            "FilterString": ""
        },
        "IncludedProperties": [],
        "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
        "Owner": "222222222222",
        "Scope": "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid",
        "ViewArn": "arn:aws:resource-explorer-2:us-west-2:222222222222:view/entire-ou-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
    }
}

下一步:向账户中的主体授予使用新视图进行搜索的权限。有关更多信息,请参阅 授予对资源管理器视图的访问权限以进行搜索