本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源總管的術語和概念
AWS 資源總管 是一項資訊搜尋和探索服務。使用資源總管,您可以使用類似網際網路搜尋引擎的體驗來探索您的資源。您可以使用資源中繼資料 (例如名稱、標籤和 ID) 來搜尋資源,例如 Amazon 彈性運算雲端執行個體、Amazon Kinesis 串流或 Amazon DynamoDB 表。資源總管AWS 區域在您的帳戶中運作,以簡化跨區域的工作負載。
資源總管使用服務建立和維護的索引,提供快速回應您的搜尋查AWS 資源總管詢。資源總管使用各種資料來源來收集AWS 帳戶. 資源總管將該資訊儲存在索引中,以供資源瀏覽器搜尋。
您應該瞭解下列概念,才能成功管理和設定您AWS 資源總管的使用者。
下圖顯示管理員開啟「資源總管」的三AWS 區域個,以及一個管理員選擇不開啟的「區域」。未開啟資源總管的區域沒有索引。因此,資源總管查詢無法搜尋其資源。
在此範例案例中,系統管理員選擇美國西部 (奧勒岡us-west-2) 區域 () 來包含帳戶的彙總索引。您開啟的所有區域會使用彙總索引,將其區域索引複寫到「區域」。
資源總管創建的默認視圖沒有任何過濾器。因此,使用此檢視進行搜尋的結果可能會包含已開啟資源總管之帳號中所有區域中任何類型的資源。
| 傳奇 | |
|
資源瀏覽器已在此處打開AWS 區域,有關該區域資源的信息存儲在該區域的本地索引中。每個區域的區域索引也會複寫 (以箭頭表示) 到包含彙總器索引的「區域」。 |
|
其中的索引設定AWS 區域為帳戶的彙總索引。Resource Explorer 會將已開啟資源總管之所有其他區域的本機索引中收集的資源資訊複製到此區域的彙總器索引中。在此區域中進行的搜尋可以包含帳戶中所有區域的結果。 |
|
「快速設定」所建立的預設檢視表包含所有資源AWS 區域。 |
資源總管管理員
資源總管管理員是 AWS Identity and Access Management (IAM) 主體,具有管理資源總管及其在整個組織AWS 帳戶。資源總管管理員可以配置以下功能:
-
透過在這些區域中建立索引,為AWS 區域中AWS 帳戶的個人開啟資源總管。這可讓 Resource Explorer 探索資源,並將這些資源的相關資訊填入索引,以便使用者可以搜尋該區域中的資源。
-
在一個更新索引類型,AWS 區域使其成為其AWS 帳戶聚合索引。此區域中的彙總器索引會從已開啟資源總管的帳號中的所有其他區域接收資源資訊的複製副本。
-
建立定義使用者可在資源總管中搜尋和探索索引資訊子集的檢視。
-
雖然不是「資源總管」動作的一部分,但資源總管管理員還必須能夠將搜尋權限授與帳號中的主參與者。管理員可以將相關許可新增至現有 IAM 權限政策,或使用 Resource Explorer 唯讀AWS受管政策,將這些權限授與主體。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立權限合集。請遵循 AWS IAM Identity Center 使用者指南 的 建立權限合集 中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示。
-
(不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。
-
-
管理員通常擁有所有資源總管資源管理器資源的所有資源總管權限 (resource-explorer-2:*),包括索引和檢視。您可以使用 [資源總管] 完整存取AWS受管理的原則來授與這些權限。
資源總管使用者
資源總管使用者是 IAM 主體,具有執行下列一或多項工作的權限:
-
使用檢視查詢資源總管來執行資源搜尋。資源總管使用者想要探索和尋找AWS資源,通常使用資源總
Search管主控台,或 AWS SDK 或. AWS CLI角色或使用者可以使用 IAM 取得權限,透過以下兩種方法之一進行搜尋:
-
IAM 許可政策,其中包含對 IAM 角色、群組或使用者的下列最低許可的陳述式。
{ "Effect": "Allow", "Action": [ "resource-explorer-2:Search", "resource-explorer-2:GetView", "Resource": "<ARN of the view>" }
-
雖然通常被視為管理員工作,但您可以將定義建立檢視的能力委派給信任的使用者。為此,管理員可以授予權限,以
resource-explorer-2:CreateView便在附加到相關角色、群組或使用者的 IAM 權限政策中呼叫作業。如果檢視需要特定許可,則必須為相關使用者進行佈建,以新增或修改 IAM 政策。
如需如何使用資源總管搜尋資源的相關資訊,請參閱使用AWS 資源總管搜尋資源。
索引
索引是資源瀏覽器維護的有關所有AWS資源的信息的AWS 區域集合AWS 帳戶。資源總管會在您開啟「資源總管」的每個「區域」中維護索引。當您在中建立和刪除資源時,資源總管會自動更新索引AWS 帳戶。在先前的圖表中,AWS 區域名稱下的方塊代表每個索引中維護的資源總管索引AWS 區域。區域中的索引是在該區域中創建的任何視圖的信息來源。使用者無法直接查詢索引。相反,他們必須始終使用視圖進行查詢。
索引有兩種類型:
- 本地索引
-
在每個您開啟資源總管的每一個區域索引AWS 區域中都有一個區域索引。本機索引僅包含相同區域中資源的相關資訊。
- 聚合索引
-
資源總管管理員也可以將索引中AWS 區域的索引指定為的彙總索引AWS 帳戶。彙總器索引會針對在帳戶中開啟資源總管的其他每個區域接收並儲存索引的副本。聚合器索引還會在自己的區域中接收並存儲有關資源的信息。在先前的圖表中,「地區」
us-west-2包含帳戶的彙總器索引。為帳戶指定彙總器索引的主要原因是,您可以建立可包含帳戶中所有區域資源的檢視表。一個中只能有一個彙總索引 AWS 帳戶當您開啟 [資源總管] 時,您可以指定要AWS 區域包含彙總器索引的內容。您也可以稍後變更AWS 區域用於彙總索引的。如需有關如何升級區域索引以使其成為其彙總索引的資訊AWS 帳戶,請參閱透過建立彙總器索引開啟跨區域搜尋。
索引是具有 Amazon 資源名稱(ARN)的資源。不過,您只能在權限原則中使用此 ARN,以授與直接與索引互動之作業的存取權。透過這些作業,您可以建立檢視並將其設定為 [區域] 中的預設檢視、開啟或關閉 [區域] 中的 [資源總管],以及為帳戶建立彙總器索引。索引的 ARN 看起來類似下列範例:
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
檢視
視圖是用於查詢索引中列出的資源的機制。此檢視會定義索引中的哪些資訊可見,以及可用於搜尋和探索目的。使用者永遠不會直接查詢資源總管索引。相反,查詢必須始終通過一個視圖,該視圖創建者可以限制用戶可以在搜索結果中查看的資源。
建立檢視表時,您可以指定篩選條件,以限制搜尋結果中包含哪些資源。例如,您可以選擇僅包含少數指定資源類型的資源,這些資源類型可供您授與此檢視的存取權限的使用者使用。使用者使用檢視進行的查詢結果一律會自動篩選,以僅包含符合檢視條件的資源。
若要授與使用檢視的存取權限,您可以使用下列其中一種方法來使用指派權限。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立權限合集。請遵循 AWS IAM Identity Center 使用者指南 的 建立權限合集 中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示。
-
(不建議) 將政策直接連接至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。
-
授予權限以允許您的角色、群組或使用者在由其 Amazon 資源名稱 (ARN) 識別的檢視上叫用resource-explorer-2:GetView和resource-explorer-2:Search操作。或者,您可以針對需要使用檢視進行搜尋的所有主參與者使用 Resource Explorer 唯讀AWS受管理的原則。您可以建立具有不同篩選器和範圍的多個檢視,從而傳回資源資訊的不同子集。然後,您可以將每個檢視的權限授與需要查看該檢視結果所包含資訊的使用者。
若要使用資源總管進行搜尋,每個使用者都必須具有至少使用一個檢視的權限。如果不使用檢視,就無法在資源總管中執行搜尋。
視圖存儲在每個區域的基礎上。視圖只能訪問其中的資源瀏覽器索引AWS 區域。若要存取整個帳戶的搜尋結果,您必須使用「地區」中包含帳戶彙總索引的檢視。快速設定選項會在中建立預設檢視,並使AWS 區域用包含帳戶所AWS 區域使用之全部資源中所有資源的篩選器。
若要取得有關如何建立視圖的資訊,請參閱管理資源總管檢視以提供搜尋存取權。若要取得有關如何在查詢中使用檢視的資訊,請參閱〈〉使用AWS 資源總管搜尋資源。
每個檢視都有一個 Amazon 資源名稱 (ARN),您可以在權限政策中參考該名稱,以授予對個別檢視的存取權。您還可以將視圖的 ARN 作為參數傳遞給與視圖交互的任何 API 或AWS CLI操作。檢視的 ARN 看起來類似下列範例。
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-View-Name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
注意
每個視圖 ARN 在最後都包含一個AWS生成的 UUID。這有助於確保可能有權存取已刪除之特定名稱之檢視的使用者無法自動存取以相同名稱建立的新檢視。
資源
資源是您可以AWS使用的實體。AWS 服務當您使用服務的功能時,會建立資源。範例包括 Amazon EC2 執行個體、Amazon S3 儲存貯體或AWS CloudFormation堆疊。某些資源類型可以包含客戶資料。所有資源類型都有屬性或中繼資料來描述資源,包括名稱、說明以及您用來唯一參照資源的 Amazon 資源名稱 (ARN)。大多數資源類型也支援標籤。標籤是您可以基於各種目的附加至資源的自訂中繼資料,例如帳單中的成本分配、使用以屬性為基礎的存取控制的安全授權,或支援其他分類需求。
資源瀏覽器的主要目的是幫助您找到AWS 帳戶. 資源總管使用各種技術來發現您的所有資源,並將有關它們的信息放在索引中。然後,您可以透過管理員提供給您的任何檢視來查詢索引。
重要
資源總管故意排除那些包含會暴露客戶資料的資源類型。下列資源類型不會由資源總管建立索引,因此不會在搜尋結果中傳回。
-
儲存貯體中包含的 Amazon S3 物件
-
Amazon DynamoDB 格項目
-
屬性值
在統一搜索 AWS Management Console
在的頂部AWS Management Console,在每個AWS 服務,有一個搜索欄,您可以使用它來搜索各種AWS相關的事物。您可以搜尋服務和功能,並直接取得該服務主控台中相關頁面的連結。您也可以搜尋與搜尋字詞相關的文件和部落格文章。
在您開啟資源總管並建立彙總器索引和預設檢視之後,統一搜尋也可以在搜尋結果中包含您帳戶的資源。統一搜尋會自動使用包AWS 區域含帳戶彙總索引的預設檢視。這可讓您從中的任何頁面搜尋資源AWS Management Console,而不必先開啟資源總管。如果您未將本機索引提升為帳戶的彙總索引,或者未在彙總器索引 Region 中建立預設檢視表,則統一搜尋不會在其搜尋結果中包含資源。此外,執行搜尋的任何主參與者都必須擁有使用「地區」(Region) 中包含彙總器索引的預設檢視的權限,否則統一搜尋不會在其搜尋結果中包含資源。
重要
統一搜尋會在字串中第一個關鍵字的結尾自動插入萬用字元 (*) 運算子。這意味著統一的搜索結果包括匹配以指定關鍵字開頭的任何字符串的資源。
[資源總管] 主控台中 [資源搜尋*手動插入。
如需統一搜尋及其與資源總管整合的詳細資訊,請參閱在中使用統一搜尋 AWS Management Console。
多帳戶搜尋
透過多帳戶搜尋,您可以透過單一關鍵字搜尋來搜尋AWS Organizations和AWS 區域探索資源。
如需有關多帳號搜尋以及如何針對資源總管啟用此搜尋的詳細資訊,請參閱開啟多帳戶搜尋。
