Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen für die Arbeit mit AWS -Ressourcengruppen
Bevor Sie mit Ressourcengruppen arbeiten, müssen Sie überprüfen, ob Sie über ein aktives AWS -Konto mit vorhandenen Ressourcen und entsprechenden Berechtigungen für das Markieren von Ressourcen und Gruppen mit Tags verfügen.
**Topics**
+ [
## Melde dich an für AWS
](#gettingstarted-prereqs-signup)
+ [
## Erstellen von -Ressourcen
](#gettingstarted-prereqs-create)
+ [
# Berechtigungen einrichten
](gettingstarted-prereqs-permissions.md)
## Melde dich an für AWS
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
## Erstellen von -Ressourcen
Sie können eine leere Ressourcengruppe erstellen, können aber erst dann Aufgaben für Mitglieder einer Ressourcengruppe ausführen, wenn sich Ressourcen in der Gruppe befinden. Weitere Informationen zu den unterstützten Ressourcentypen finden Sie unter [Ressourcentypen, die Sie mit AWS -Ressourcengruppen und dem Tag-Editor verwenden können](supported-resources.md).
# Berechtigungen einrichten
Um Ressourcengruppen und Tag Editor vollständig nutzen zu können, benötigen Sie möglicherweise zusätzliche Berechtigungen für das Markieren von Ressourcen oder die Anzeige der Tag-Schlüssel und -Werte einer Ressource. Diese Berechtigungen gehören folgenden Kategorien an:
+ Berechtigungen für einzelne Services, sodass Sie Ressourcen aus diesen Services mit einem Tag markieren und in Ressourcengruppen einfügen können.
+ Berechtigungen, die für die Verwendung der Tag Editor-Konsole erforderlich sind
+ Berechtigungen, die für die Verwendung der AWS -Ressourcengruppen Konsole und der API erforderlich sind.
Wenn Sie ein Administrator sind, können Sie Ihren Benutzern Berechtigungen gewähren, indem Sie Richtlinien über den AWS Identity and Access Management (IAM-) Dienst erstellen. Sie erstellen zunächst Ihre Prinzipale, z. B. IAM-Rollen oder -Benutzer, oder verknüpfen externe Identitäten mit Ihrer AWS Umgebung mithilfe eines Dienstes wie. AWS IAM Identity Center Anschließend wenden Sie Richtlinien mit den Berechtigungen an, die Ihre Benutzer benötigen. Informationen zum Erstellen und Anhängen von IAM-Richtlinien finden Sie unter [Mit Richtlinien arbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).
## Berechtigungen für einzelne Dienste
**Wichtig**
In diesem Abschnitt werden die Berechtigungen beschrieben, die erforderlich sind, wenn Sie Ressourcen von anderen Servicekonsolen APIs taggen und diese Ressourcen zu Ressourcengruppen hinzufügen möchten.
Wie in [Ressourcen und ihre Gruppentypen](resource-groups.md#resource-groups-intro) beschrieben, stellt jede Ressourcengruppe eine Sammlung von Ressourcen mit angegebenen Typen dar, denen mindestens ein Tag-Schlüssel oder -Wert gemeinsam ist. Um Tags zu einer Ressource hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen für den Service, zu dem die Ressource gehört. Um beispielsweise Amazon EC2 EC2-Instances zu taggen, müssen Sie über Berechtigungen für die Tagging-Aktionen in der API dieses Services verfügen, wie sie beispielsweise im [Amazon EC2 EC2-Benutzerhandbuch](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI) aufgeführt sind.
Um die Ressourcengruppenfunktion vollständig nutzen zu können, benötigen Sie weitere Berechtigungen, die Ihnen den Zugriff auf die Konsole eines Service und die Interaktion mit den dort vorhandenen Ressourcen ermöglichen. Beispiele für solche Richtlinien für Amazon EC2 finden Sie unter [Beispielrichtlinien für die Arbeit in der Amazon EC2 EC2-Konsole im Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) *EC2-Benutzerhandbuch*.
## Erforderliche Berechtigungen für Resource Groups und Tag-Editor
Um Resource Groups und den Tag Editor verwenden zu können, müssen die folgenden Berechtigungen zur Richtlinienerklärung eines Benutzers in IAM hinzugefügt werden. Sie können entweder AWS verwaltete Richtlinien hinzufügen, die up-to-date von verwaltet und verwaltet werden AWS, oder Sie können Ihre eigene benutzerdefinierte Richtlinie erstellen und verwalten.
### Verwenden AWS verwalteter Richtlinien für Resource Groups und Tag-Editor-Berechtigungen
AWS -Ressourcengruppen und Tag Editor unterstützen die folgenden AWS verwalteten Richtlinien, mit denen Sie Ihren Benutzern einen vordefinierten Satz von Berechtigungen gewähren können. Sie können diese verwalteten Richtlinien jedem Benutzer, jeder Rolle oder Gruppe zuordnen, genau wie jede andere Richtlinie, die Sie erstellen.
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Diese Richtlinie gewährt der angehängten IAM-Rolle oder dem Benutzer die Berechtigung, die schreibgeschützten Operationen sowohl für Resource Groups als auch für den Tag-Editor aufzurufen. Um die Tags einer Ressource lesen zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen (siehe den folgenden wichtigen Hinweis).
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Diese Richtlinie gewährt der angehängten IAM-Rolle oder dem Benutzer die Berechtigung, alle Resource Groups sowie die Lese- und Schreib-Tag-Operationen im Tag Editor aufzurufen. Um die Tags einer Ressource lesen oder schreiben zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen (siehe den folgenden wichtigen Hinweis).
**Wichtig**
Die beiden vorherigen Richtlinien gewähren die Erlaubnis, die Operationen Resource Groups und Tag Editor aufzurufen und diese Konsolen zu verwenden. Für Ressourcengruppenoperationen sind diese Richtlinien ausreichend und gewähren alle Berechtigungen, die für die Arbeit mit einer Ressource in der Resource Groups-Konsole erforderlich sind.
Für Tagging-Operationen und die Tag Editor-Konsole sind die Berechtigungen jedoch detaillierter. Sie benötigen nicht nur die erforderlichen Berechtigungen, um den Vorgang aufzurufen, sondern auch über die entsprechenden Berechtigungen für die spezifische Ressource, auf deren Tags Sie zugreifen möchten. Um diesen Zugriff auf die Tags zu gewähren, müssen Sie außerdem eine der folgenden Richtlinien anhängen:
Die Richtlinie AWS-managed [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)gewährt Berechtigungen für schreibgeschützte Operationen für die Ressourcen aller Dienste. AWS hält diese Richtlinie automatisch auf dem neuesten Stand, sobald neue AWS Dienste verfügbar sind.
Viele Dienste bieten dienstspezifische, schreibgeschützte und AWS verwaltete Richtlinien, mit denen Sie den Zugriff nur auf die von diesem Dienst bereitgestellten Ressourcen beschränken können. Amazon EC2 bietet beispielsweise [Amazon EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess).
Sie könnten Ihre eigene Richtlinie erstellen, die nur Zugriff auf die ganz bestimmten schreibgeschützten Operationen für die wenigen Dienste und Ressourcen gewährt, auf die Ihre Benutzer zugreifen sollen. Diese Richtlinie verwendet entweder eine „Zulassungsliste“ -Strategie oder eine Ablehnungslistenstrategie.
Eine Strategie für Zulassungslisten macht sich die Tatsache zunutze, dass der Zugriff standardmäßig verweigert wird, bis Sie ihn in einer Richtlinie ***ausdrücklich zulassen***. Sie können also eine Richtlinie wie das folgende Beispiel verwenden:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
Alternativ könnten Sie eine „Deny-List“ -Strategie verwenden, die den Zugriff auf alle Ressourcen ermöglicht, mit Ausnahme der Ressourcen, die Sie explizit blockieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Manuelles Hinzufügen von Resource Groups und Tag-Editor-Berechtigungen
+ `resource-groups:*`(Diese Berechtigung ermöglicht alle Ressourcengruppen-Aktionen. Wenn Sie stattdessen Aktionen einschränken möchten, die für einen Benutzer verfügbar sind, können Sie das Sternchen durch eine [bestimmte Ressourcengruppen-Aktion](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) oder durch eine durch Kommas getrennte Liste von Aktionen ersetzen.)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**Anmerkung**
Mit dieser `resource-groups:SearchResources` Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie Ihre Suche anhand von Tagschlüsseln oder -werten filtern.
Mit dieser `resource-explorer:ListResources` Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie nach Ressourcen suchen, ohne Such-Tags zu definieren.
Um Resource Groups und den Tag Editor in der Konsole zu verwenden, benötigen Sie außerdem die Erlaubnis, die `resource-groups:ListGroupResources` Aktion auszuführen. Diese Berechtigung ist erforderlich, um verfügbare Ressourcentypen in der aktuellen Region aufzulisten. Die Verwendung von Richtlinienbedingungen mit `resource-groups:ListGroupResources` wird derzeit nicht unterstützt.
# Erteilen von Berechtigungen für die Verwendung des AWS -Ressourcengruppen Tag-Editors
Gehen Sie wie folgt vor, um einem Benutzer eine Richtlinie für die Verwendung AWS -Ressourcengruppen und den Tag-Editor hinzuzufügen.
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam).
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Suchen Sie den Benutzer, dem Sie Tag-Editor-Berechtigungen gewähren AWS -Ressourcengruppen möchten. Wählen Sie den Namen des Benutzers aus, um die Seite „Eigenschaften“ für den Benutzer zu öffnen.
1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen).
1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Fügen Sie auf der Registerkarte **JSON** die folgende Richtlinienanweisung ein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Diese beispielhafte Richtlinienanweisung gewährt nur Berechtigungen für Aktionen AWS -Ressourcengruppen und Tag Editor-Aktionen. Sie ermöglicht keinen Zugriff auf AWS Systems Manager Aufgaben in der AWS -Ressourcengruppen Konsole. Diese Richtlinie gewährt Ihnen beispielsweise keine Berechtigungen zur Verwendung von Systems Manager Automation-Befehlen. Um Systems Manager Manager-Aufgaben für Ressourcengruppen ausführen zu können, müssen Sie über Systems Manager Manager-Berechtigungen verfügen, die mit Ihrer Richtlinie verknüpft sind (z. B.`ssm:*`). Weitere Informationen zur Gewährung des Zugriffs auf Systems Manager finden Sie unter [Konfiguration des Zugriffs auf Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) im *AWS Systems Manager Benutzerhandbuch*.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie einen Namen und eine Beschreibung für die neue Richtlinie ein (z. B. `AWSResourceGroupsQueryAPIAccess`).
1. Wählen Sie **Richtlinie erstellen** aus.
1. Da die Richtlinie nun in IAM gespeichert ist, können Sie sie anderen Benutzern zuordnen. Weitere Informationen zum Hinzufügen einer Richtlinie zu einem Benutzer finden Sie im *IAM-Benutzerhandbuch* unter [Hinzufügen von Berechtigungen durch direktes Anhängen von Richtlinien an den Benutzer](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy).