Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit dem Tag Editor
<a name="gettingstarted"></a>

**Wichtig**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Wir verwenden Tags, um Ihnen Abrechnungs- und Verwaltungsdienste bereitzustellen. Tags sind nicht für private oder sensible Daten gedacht.

Verwenden Sie den Tag-Editor, um mehreren Ressourcen gleichzeitig Tags hinzuzufügen oder sie zu bearbeiten oder zu löschen. Mit Tag Editor können Sie nach den Ressourcen suchen, die Sie mit Tags markieren möchten, und dann die Tags für die Ressourcen in Ihren Suchergebnissen verwalten. 

**So starten Sie den Tag Editor:**

1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/console/home) an.

1. Führen Sie einen der folgenden Schritte aus:
   + Wählen Sie **Dienste** aus. Wählen Sie dann unter **Management & Governance** die Option **Resource Groups & Tag Editor** aus. Wählen Sie im Navigationsbereich auf der linken Seite **Tag Editor** aus.
   + Verwenden Sie den direkten Link: [AWS Tag Editor-Konsole](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources).

Nicht alle Ressourcen können mit Tags markiert werden. Informationen darüber, welche Ressourcen der Tag Editor unterstützt, finden Sie in der **Tag-Editor-Tagging-Spalte** unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) im *AWS -Ressourcengruppen Benutzerhandbuch*. Wenn ein Ressourcentyp, den Sie taggen möchten, nicht unterstützt wird, AWS teilen Sie uns dies mit, indem Sie in der unteren linken Ecke des Konsolenfensters **Feedback** auswählen.

Informationen zu den Berechtigungen und Rollen, die für das Markieren von Ressourcen mit Tags erforderlich sind, finden Sie unter [Berechtigungen einrichten](gettingstarted-prereqs-permissions.md).

**Topics**
+ [Voraussetzungen für die Arbeit mit dem Tag Editor](gettingstarted-prereqs.md)
+ [Berechtigungen einrichten](gettingstarted-prereqs-permissions.md)

# Voraussetzungen für die Arbeit mit dem Tag Editor
<a name="gettingstarted-prereqs"></a>

Bevor Sie beginnen, Ihre Ressourcen zu taggen, sollten Sie sicherstellen, dass Sie über aktive AWS-Konto Ressourcen verfügen und über die entsprechenden Rechte zum Taggen von Ressourcen und zum Erstellen von Gruppen verfügen.

**Topics**
+ [Melden Sie sich an für ein AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Erstellen von -Ressourcen](#gettingstarted-prereqs-create)

## Melden Sie sich an für ein AWS-Konto
<a name="sign-up-for-aws"></a>

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

**Um sich für eine anzumelden AWS-Konto**

1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)

1. Folgen Sie den Online-Anweisungen.

   Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Sie können Ihre aktuellen Kontoaktivitäten jederzeit einsehen und Ihr Konto verwalten, indem Sie zu [https://aws.amazon.com/](https://aws.amazon.com/)gehen und **Mein Konto** auswählen.

## Erstellen eines Benutzers mit Administratorzugriff
<a name="create-an-admin"></a>

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.

1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

   Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.

**Erstellen eines Benutzers mit Administratorzugriff**

1. Aktivieren Sie das IAM Identity Center.

   Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

   *Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *

**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).

**Weiteren Benutzern Zugriff zuweisen**

1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

   Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

## Erstellen von -Ressourcen
<a name="gettingstarted-prereqs-create"></a>

Sie müssen Ressourcen in Ihrem AWS-Konto To-Tag haben. Weitere Informationen zu den unterstützten Ressourcentypen finden Sie in der Spalte **Tag-Editor-Tagging** unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) im *AWS -Ressourcengruppen Benutzerhandbuch*.

# Berechtigungen einrichten
<a name="gettingstarted-prereqs-permissions"></a>

Um den Tag Editor in vollem Umfang nutzen zu können, benötigen Sie möglicherweise zusätzliche Berechtigungen, um Ressourcen zu taggen oder die Tag-Schlüssel und -Werte einer Ressource zu sehen. Diese Berechtigungen lassen sich in die folgenden Kategorien einteilen: 
+ Berechtigungen für einzelne Services, sodass Sie Ressourcen aus diesen Services mit einem Tag markieren und in Ressourcengruppen einfügen können.
+ Berechtigungen, die für die Verwendung der Tag Editor-Konsole erforderlich sind.

Wenn Sie ein Administrator sind, können Sie Ihren Benutzern Berechtigungen gewähren, indem Sie Richtlinien über den AWS Identity and Access Management (IAM-) Dienst erstellen. Sie erstellen zunächst IAM-Rollen, -Benutzer oder -Gruppen und wenden dann die Richtlinien mit den erforderlichen Berechtigungen an. Informationen zum Erstellen und Anhängen von IAM-Richtlinien finden Sie unter Mit Richtlinien [arbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).

## Berechtigungen für einzelne Dienste
<a name="rg-perms-individual-services"></a>

**Wichtig**  
In diesem Abschnitt werden die Berechtigungen beschrieben, die erforderlich sind, wenn Sie Ressourcen **von anderen AWS Servicekonsolen kennzeichnen möchten und APIs**.

Um Tags zu einer Ressource hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen für den Service, zu dem die Ressource gehört. Um beispielsweise Amazon EC2 EC2-Instances zu taggen, müssen Sie über Berechtigungen für die Tagging-Operationen in der API dieses Dienstes verfügen, z. B. für den [Amazon EC2 CreateTags EC2-Vorgang](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html).

## Für die Verwendung der Tag Editor-Konsole sind Berechtigungen erforderlich
<a name="gettingstarted-prereqs-permissions-te"></a>

Um die Tag Editor-Konsole zum Auflisten und Markieren von Ressourcen zu verwenden, müssen die folgenden Berechtigungen zur Richtlinienerklärung eines Benutzers in IAM hinzugefügt werden. Sie können entweder AWS verwaltete Richtlinien hinzufügen, die von verwaltet und auf dem neuesten Stand gehalten werden AWS, oder Sie können Ihre eigene benutzerdefinierte Richtlinie erstellen und verwalten.

### Verwenden AWS verwalteter Richtlinien für Tag-Editor-Berechtigungen
<a name="prereqs-permissions-managedpolicies"></a>

Der Tag Editor unterstützt die folgenden AWS verwalteten Richtlinien, mit denen Sie Ihren Benutzern einen vordefinierten Satz von Berechtigungen bereitstellen können. Sie können diese verwalteten Richtlinien jeder Rolle, jedem Benutzer oder jeder Gruppe zuordnen, genau wie jede andere Richtlinie, die Sie erstellen.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
Diese Richtlinie gewährt der angehängten IAM-Rolle oder dem zugewiesenen Benutzer die Berechtigung, die schreibgeschützten Operationen sowohl für den Tag Editor als auch AWS -Ressourcengruppen für den Tag Editor aufzurufen. Um die Tags einer Ressource lesen zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen. Weitere Informationen finden Sie im folgenden **Wichtigen** Hinweis.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
Diese Richtlinie gewährt der angehängten IAM-Rolle oder dem Benutzer die Berechtigung, alle Resource Groups sowie die Lese- und Schreib-Tag-Operationen im Tag Editor aufzurufen. Um die Tags einer Ressource lesen oder schreiben zu können, müssen Sie im Rahmen einer separaten Richtlinie auch über Berechtigungen für diese Ressource verfügen. Weitere Informationen finden Sie im folgenden **Wichtigen** Hinweis.

**Wichtig**  
Die beiden vorherigen Richtlinien gewähren die Erlaubnis, die Tag Editor-Operationen aufzurufen und die Tag Editor-Konsole zu verwenden. Sie müssen jedoch nicht nur über die erforderlichen Berechtigungen zum Aufrufen des Vorgangs verfügen, sondern auch über die entsprechenden Berechtigungen für die spezifische Ressource, auf deren Tags Sie zugreifen möchten. Um diesen Zugriff auf die Tags zu gewähren, müssen Sie außerdem eine der folgenden Richtlinien anhängen:  
Die AWS verwaltete Richtlinie [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)gewährt Berechtigungen für schreibgeschützte Operationen für die Ressourcen aller Dienste. AWS hält diese Richtlinie automatisch auf dem neuesten Stand, AWS-Services sobald neue verfügbar sind.
Viele Dienste bieten dienstspezifische AWS verwaltete Richtlinien mit Schreibschutz, mit denen Sie den Zugriff nur auf die von diesem Dienst bereitgestellten Ressourcen beschränken können. Amazon EC2 bietet [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)beispielsweise.
Sie können Ihre eigene Richtlinie erstellen, die nur Zugriff auf die spezifischen schreibgeschützten Operationen für die wenigen Dienste und Ressourcen gewährt, auf die Ihre Benutzer zugreifen sollen. Diese Richtlinie verwendet entweder eine Allowlist-Strategie oder eine Denylist-Strategie.  
Eine Allowlist-Strategie macht sich die Tatsache zunutze, dass der Zugriff standardmäßig verweigert wird, bis Sie ihn in einer ***Richtlinie ausdrücklich zulassen***. Sie können also eine Richtlinie wie das folgende Beispiel verwenden.  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:444455556666:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket2"
                  ]
          }
      ]
  }
  ```
Alternativ könnten Sie eine Denylist-Strategie verwenden, die den Zugriff auf alle Ressourcen ermöglicht, mit Ausnahme der Ressourcen, die Sie explizit blockieren. Dies erfordert eine separate Richtlinie, die für die jeweiligen Benutzer gilt und den Zugriff ermöglicht. Die folgende Beispielrichtlinie verweigert dann den Zugriff auf die spezifischen Ressourcen, die im Amazon-Ressourcennamen (ARN) aufgeführt sind.  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:123456789012:instance:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket3"
               ]
          }
      ]
  }
  ```

### Manuelles Hinzufügen von Tag Editor-Berechtigungen
<a name="prereqs-permissions-manualadd"></a>
+ `tag:*`(Diese Berechtigung ermöglicht alle Tag-Editor-Aktionen. Wenn Sie stattdessen Aktionen einschränken möchten, die einem Benutzer zur Verfügung stehen, können Sie das Sternchen durch eine [bestimmte Aktion](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) oder durch eine durch Kommas getrennte Liste von Aktionen ersetzen.)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`

**Anmerkung**  
Mit dieser `resource-groups:SearchResources` Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie Ihre Suche anhand von Tagschlüsseln oder -werten filtern.   
Mit dieser `resource-explorer:ListResources` Berechtigung kann der Tag-Editor Ressourcen auflisten, wenn Sie nach Ressourcen suchen, ohne Such-Tags zu definieren. 

## Erteilen von Berechtigungen für die Verwendung des Tag-Editors
<a name="gettingstarted-prereqs-permissions-howto"></a>

Gehen Sie wie folgt vor, um einer Rolle eine Richtlinie für die Verwendung AWS -Ressourcengruppen und den Tag-Editor hinzuzufügen.

1. Öffnen Sie die [IAM-Konsole auf der Seite **Rollen**.](https://console.aws.amazon.com/iamv2/home#/roles)

1. Suchen Sie die Rolle, der Sie Tag-Editor-Berechtigungen gewähren möchten. Wählen Sie den Namen der Rolle, um die **Übersichtsseite** der Rolle zu öffnen.

1. Wählen Sie auf der Registerkarte **Permissions** die Option **Add permissions**.

1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Fügen Sie auf der Registerkarte **JSON** die folgende Richtlinienanweisung ein.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**Anmerkung**  
Diese beispielhafte Richtlinienanweisung gewährt nur Berechtigungen zur Ausführung von Tag-Editor-Aktionen.

1. Wählen Sie **Next: Tags (Weiter: Tags)** und danach **Next: Review (Weiter: Prüfen)** aus.

1. Geben Sie einen Namen und eine Beschreibung für die neue Richtlinie ein. Beispiel, **AWSTaggingAccess**.

1. Wählen Sie **Richtlinie erstellen** aus.

Da die Richtlinie nun in IAM gespeichert ist, können Sie sie anderen Prinzipalen wie Rollen, Gruppen oder Benutzern zuordnen. Weitere Informationen zum Hinzufügen einer Richtlinie zu einem Prinzipal finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.

## Autorisierung und Zugriffskontrolle auf der Grundlage von Tags
<a name="rg-perms-iam"></a>

AWS-Services unterstützt Folgendes:
+ **Aktionsbasierte Richtlinien** — Sie können beispielsweise eine Richtlinie erstellen, die es Benutzern ermöglicht, `GetTagValues` Operationen auszuführen`GetTagKeys`, andere jedoch nicht.
+ **Berechtigungen auf Ressourcenebene in Richtlinien** — Viele Dienste unterstützen die Angabe einzelner Ressourcen in der Richtlinie. [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)
+ **Autorisierung auf der Grundlage von Tags** — Viele Dienste unterstützen die Verwendung von Ressourcen-Tags unter der Bedingung einer Richtlinie. Sie können beispielsweise eine Richtlinie erstellen, die Benutzern vollen Zugriff auf eine Gruppe gewährt, die dasselbe Tag wie die Benutzer hat. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *AWS Identity and Access Management Benutzerhandbuch*.
+ **Temporäre Anmeldeinformationen** — Benutzer können eine Rolle mit einer Richtlinie annehmen, die Tag-Editor-Operationen erlaubt.

Der Tag Editor verwendet keine dienstbezogenen Rollen.

Weitere Informationen zur Integration von Tag Editor in AWS Identity and Access Management (IAM) finden Sie unter den folgenden Themen im *AWS Identity and Access Management Benutzerhandbuch*:
+ [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Aktionen, Ressourcen und Bedingungsschlüssel für den Tag-Editor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Richtlinien](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)