設定許可 - AWS Resource Groups
個別服務的權限 Resource Groups 和標籤編輯器的必要權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定許可

為了完整利用資源群組和標籤編輯器,您可能需要額外的許可,來為資源加上標籤或查看資源的標籤索引鍵和值。這些許可分為以下類別:

  • 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。

  • 使用標籤編輯器主控台所需的權限

  • 使用所需的權限 AWS Resource Groups 控制台和API。

如果您是系統管理員,您可以透過 AWS Identity and Access Management (IAM) 服務。您先建立主參與者 (例如IAM角色或使用者),或將外部識別與您的 AWS 環境使用類似的服務 AWS IAM Identity Center。 然後,您可以使用您的使用者需要的權限來套用原則。如需有關建立和附加IAM原則的資訊,請參閱使用原則

個別服務的權限

重要

本節說明如果您想要標記來自其他服務主控台的資源APIs,並將這些資源新增至資源群組時,所需的權限。

資源及其群組類型中所述,每個資源群組代表共用一或多個標籤索引鍵或值之指定類型的資源集合。若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您必須擁有該服務中標記動作的許可API,例如 Amazon EC2 使用者指南中列出的動作。

為了完整利用資源群組功能,您需要其他許可,以允許您存取服務的主控台並與該處的資源互動。如需 Amazon 這類政策的範例EC2,請參閱 Amazon EC2使用者指南中的 Amazon EC2 主控台中的範例政策。

Resource Groups 和標籤編輯器的必要權限

若要使用 Resource Groups 和標籤編輯器,必須將下列權限新增至中的使用者政策陳述式IAM。您可以添加 AWS-由維護和保存 up-to-date 的管理策略 AWS,或者您可以建立和維護自己的自訂原則。

使用 AWS Resource Groups 和標籤編輯器權限的受管策略

AWS Resource Groups 和標籤編輯器支持以下內容 AWS 受管理的策略,您可以用來提供一組預先定義的權限給您的使用者。您可以將這些受管理的政策附加到任何使用者、角色或群組,就像您建立的任何其他原則一樣。

ResourceGroupsandTagEditorReadOnlyAccess

此原則會授與附加的IAM角色或使用者權限,以呼叫 Resource Groups 和標籤編輯器的唯讀作業。若要讀取資源的標籤,您還必須透過個別原則擁有該資源的權限 (請參閱下列重要注意事項)。

ResourceGroupsandTagEditorFullAccess

此原則會授與附加的IAM角色或使用者權限,以便在標籤編輯器中呼叫任何 Resource Groups 作業以及讀取和寫入標籤作業。若要讀取或寫入資源的標籤,您還必須透過個別原則擁有該資源的權限 (請參閱下列重要注意事項)。

重要

先前的兩個原則會授與呼叫 Resource Groups 和標籤編輯器作業以及使用這些主控台的權限。對於 Resource Groups 作業,這些策略就足夠了,並授與使用 Resource Groups 主控台中任何資源所需的所有權限。

不過,對於標記作業和標籤編輯器主控台,權限會更加精細。您不僅必須具有調用操作的權限,還必須具有對您嘗試訪問其標籤的特定資源的適當權限。若要授與該標籤存取權,您還必須附加下列其中一個原則:

  • 所以此 AWS-託管策略ReadOnlyAccess授予對每個服務資源的只讀操作的權限。 AWS 自動保持此政策與新的最新狀態 AWS 服務,因為他們變得可用。

  • 許多服務提供服務特定的唯讀 AWS-受管理的政策,您可以用來限制只存取該服務所提供的資源。例如,Amazon EC2 提供 Amazon EC2ReadOnlyAccess

  • 您可以建立自己的原則,針對您希望使用者存取的少數服務和資源,僅授與非常特定的唯讀作業的存取權。此原則使用「允許清單」策略或拒絕清單策略。

    允許清單策略會利用預設拒絕存取的事實,直到您在原則中明確允許存取為止。因此,您可以使用如下示例所示的策略:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

    或者,您可以使用「拒絕清單」策略,允許存取您明確封鎖的資源以外的所有資源。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
             "Action": [ "resource-groups:*" ],
            "Resource": "arn:aws:resource-groups:*:123456789012:group/*"
        }
    ]
}

手動新增 Resource Groups 和標籤編輯器權限

  • resource-groups:*(此權限允許所有 Resource Groups 動作。 如果您想要限制使用者可使用的動作,可以使用特定的 Resource Groups 動作取代星號,或以逗號分隔的動作清單取代星號)

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • tag:GetResources

  • tag:TagResources

  • tag:UntagResources

  • tag:getTagKeys

  • tag:getTagValues

  • resource-explorer:*

注意

resource-groups:SearchResources權限允許標籤編輯器在您使用標籤鍵或值篩選搜尋時列出資源。

resource-explorer:ListResources權限允許「標籤編輯器」在您搜尋資源時列出資源,而不定義搜尋標籤。

若要在主控台中使用 Resource Groups 和標籤編輯器,您還需要執行resource-groups:ListGroupResources動作的權限。此權限對於列出目前區域中的可用資源類型是必要的。目前不支援將原則條件與搭配resource-groups:ListGroupResources使用。