管理资源管理器视图以提供搜索访问权限 - AWS 资源探索器
默认视图

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理资源管理器视图以提供搜索访问权限

视图是搜索资源的关键。每个 AWS 资源探索器 搜索操作都必须使用视图。视图指的是管理员可以用来控制对您的 AWS 账户中的资源的相关信息的访问权限的方法。

只有有权使用视图的委托人(IAM角色或用户)才能访问该视图。要使用资源浏览器成功搜索,委托人必须有权Allow访问视图上的resource-explorer-2:GetViewresource-explorer-2:Search操作ARN

视图包含内置筛选条件,管理员可以使用这些筛选条件将结果限制为仅显示感兴趣的项目。例如,您可以创建一个仅包含与特定项目相关的资源的视图。不需要查看其他项目信息的用户可以使用此视图以仅查看感兴趣的资源。

视图是一种区域性资源。视图创建并存储在特定 AWS 区域 区域中,其结果中仅返回该区域中的索引的信息。要将来自账户中的所有区域的结果包括在内,视图必须位于包含聚合器索引的区域中。该区域包含账户中所有其他区域的索引的副本。

每个视图都有几个关键要素:

搜索权限

您可以使用标准 AWS 权限策略来控制谁可以使用每个视图。这是由附加于主体的基于身份的权限策略提供的,这些策略使您可以精细控制谁可以看到每个视图提供的信息。例如,您可以授予访问 Production-resources 视图的权限,从而仅允许操作您的生产服务的工程师进行搜索。然后,您可以授予对 Pre-production-resources 视图的不同权限,以允许开发人员搜索预生产资源。

如果您使用以委托人命名的 AWS AWSResourceExplorerReadOnlyAccess托管策略,则授权他们使用账户中的任何视图进行搜索。

或者,您也可以创建自己的权限策略,并仅为指定的视图授予以下权限:

  • resource-explorer-2:GetView

  • resource-explorer-2:Search

要提供访问权限,请为您的用户、组或角色添加权限:

  • 中的用户和群组 AWS IAM Identity Center:

    创建权限集合。按照《AWS IAM Identity Center 用户指南》创建权限集的说明进行操作。

  • IAM通过身份提供商管理的用户:

    创建适用于身份联合验证的角色。按照《IAM用户指南》中为第三方身份提供商创建角色(联合)中的说明进行操作。

  • IAM用户:

    • 创建您的用户可以担任的角色。按照《用户指南》为IAM用户创建角色中的IAM说明进行操作。

    • (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《用户指南》中向用户(控制台)添加权限中的IAM说明进行操作。

有关使用与视图相关的权限的更多信息,请参阅 授予对资源管理器视图的访问权限以进行搜索

筛选搜索

视图可用作虚拟窗口,用户可以通过该窗口查看账户中的资源。您可以创建多个视图,每个视图均显示大图的不同视图。例如,您可以创建一个视图,以仅允许搜索与预生产环境关联的资源,这些资源通过附加到资源的标签标识。然后,您可以创建一个单独的视图,以仅允许根据标签中的不同值搜索生产环境中的资源。如果您使用不同的 FilterString 值配置多个视图,则不必在每次搜索时重新输入这些查询参数。

视图还可以指定要在结果中包含有关资源的哪些可选信息。默认字段列表始终包含在结果中。除了默认列表外,您还可以要求视图中同时包含附加到资源的任何标签。

搜索范围

  • 区域范围-当您 AWS 区域 使用资源浏览器进行搜索时,结果只能包含在该区域中编制索引的资源。大多数区域的索引之所以被标记为 LOCAL,是因为它仅包含有关该区域内资源的信息。在这些区域进行搜索只能返回这些资源。

  • 账户范围 – 您只能将一个本地索引提升为账户的聚合器索引。执行此操作时,所有其他已开启资源管理器的区域都会将其索引信息复制到包含聚合器索引的区域。如果您在该区域进行搜索,则这些结果将包括该账户中所有区域的资源。当您使用快速设置功能选项配置服务器时,资源管理器会自动在您指定的区域中创建聚合器索引。此外,快速设置功能选项会在该区域创建默认视图,以支持在所有区域中搜索账户中的所有资源。

默认视图

如果用户在未明确指定视图的情况下尝试搜索,则资源管理器将使用为该 AWS 区域定义的默认视图

如果该区域不存在默认视图,且用户未指定要使用的视图,则搜索将会失败并生成异常。

资源管理器会自动创建默认视图,如下所示:

  • 如果您使用打开资源浏览器 AWS Management Console 并选择快速设置选项,则必须指定哪个区域包含该帐户的聚合索引。资源管理器会自动在指定的聚合器索引区域中创建默认视图。

  • 如果您使用注册资源浏览器 AWS Management Console 并选择高级设置选项,则可以选择为指定区域中的账户创建聚合索引。如果您执行此操作,则资源管理器会自动在聚合器索引区域中创建默认视图。

  • 如果您使用控制台注册资源管理器并选择注册聚合器索引区域,则资源管理器会为每个区域中的本地索引创建默认视图。

  • 如果您使用 AWS CLI 或API操作注册资源管理器,则资源浏览器不会自动创建默认视图。反之,您必须为希望用户搜索的每个区域手动配置默认视图。