Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Requisitos previos para trabajar con Grupos de recursos de AWS
Antes de comenzar a trabajar con los grupos de recursos, asegúrese de que tiene una cuenta de AWS activa que disponga de recursos y de los derechos necesarios para etiquetar recursos y crear grupos.
**Topics**
+ [
## Inscríbase en AWS
](#gettingstarted-prereqs-signup)
+ [
## Creación de recursos de
](#gettingstarted-prereqs-create)
+ [
# Configuración de permisos
](gettingstarted-prereqs-permissions.md)
## Inscríbase en AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
**Para suscribirte a una Cuenta de AWS**
1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).
1. Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
## Creación de recursos de
Puede crear un grupo de recursos vacío, pero no podrá realizar ninguna tarea con los miembros del grupo de recursos hasta que haya recursos en él. Para obtener más información sobre los tipos de recursos admitidos, consulte [Tipos de recursos que puede usar con un Grupos de recursos de AWS editor de etiquetas](supported-resources.md).
# Configuración de permisos
Para hacer pleno uso de Resource Groups y Tag Editor, es posible que necesite más permisos para etiquetar recursos o para las claves de etiquetas y los valores de un recurso. Estos permisos se dividen en las categorías siguientes:
+ Los permisos para los servicios individuales, para que pueda etiquetar los recursos de dichos servicios e incluirlos en los grupos de recursos.
+ Los permisos necesarios para usar la consola de Tag Editor
+ Permisos necesarios para usar la Grupos de recursos de AWS consola y la API.
Si es administrador, puede proporcionar permisos a sus usuarios mediante la creación de políticas a través del servicio AWS Identity and Access Management (IAM). Primero debe crear sus principios, como las funciones o los usuarios de IAM, o bien asociar identidades externas a su AWS entorno mediante un servicio como. AWS IAM Identity Center A continuación, aplique las políticas con los permisos que necesitan los usuarios. Para obtener información acerca de cómo crear y asociar políticas de IAM;, consulte [Uso de las políticas](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).
## Permisos para servicios individuales
**importante**
En esta sección se describen los permisos necesarios si desea etiquetar recursos de otras consolas de servicio y APIs agregar esos recursos a grupos de recursos.
Como se describe en [Los recursos y sus tipos de grupos](resource-groups.md#resource-groups-intro), cada grupo de recursos representa un conjunto de recursos de los tipos especificados que comparten una o varias claves de etiquetas o valores. Para añadir etiquetas a un recurso, debe tener los permisos necesarios para el servicio al que pertenece el recurso. Por ejemplo, para etiquetar instancias de Amazon EC2, debe tener permisos para las acciones de etiquetado en la API de dicho servicio, como los que se muestran en la [Guía del usuario de Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI).
Para utilizar plenamente la característica de grupos de recursos, necesita otros permisos que le permitan tener acceso a la consola de un servicio e interactuar con los recursos disponibles en ella. Para ver ejemplos de dichas políticas para Amazon EC2, consulte [Ejemplos de políticas para trabajar en la consola de Amazon EC2 en la Guía del usuario](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) de Amazon *EC2*.
## Permisos obligatorios para Resource Groups y Tag Editor
Para utilizar Resource Groups y Tag Editor, se deben añadir los siguientes permisos a la instrucción de política del usuario en IAM. Puede añadir políticas AWS gestionadas que sean mantenidas y guardadas up-to-date por AWS, o bien puede crear y mantener su propia política personalizada.
### Uso de políticas AWS administradas para los permisos de Resource Groups y Tag Editor
Grupos de recursos de AWS y Tag Editor admiten las siguientes políticas AWS administradas que puedes usar para proporcionar un conjunto predefinido de permisos a tus usuarios. Puede adjuntar estas políticas administradas a cualquier usuario, rol o grupo del mismo modo que lo haría con cualquier otra política que cree.
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Esta política concede al rol de IAM o al usuario adjunto permiso para llamar a las operaciones de solo lectura de Resource Groups y Tag Editor. Para leer las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Esta política concede al rol de IAM o usuario adjunto permiso para llamar a cualquier operación de Resource Groups y a las operaciones de lectura y escritura de etiquetas en Tag Editor. Para leer o escribir las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente (consulte la siguiente nota importante).
**importante**
Las dos políticas anteriores conceden permiso para llamar a las operaciones Resource Groups y Tag Editor y usar esas consolas. Para las operaciones de Resource Groups, estas políticas son suficientes y otorgan todos los permisos necesarios para trabajar con cualquier recurso de la consola de Resource Groups.
Sin embargo, para las operaciones de etiquetado y la consola de Tag Editor, los permisos son más detallados. Debe tener los permisos no solo para invocar la operación, sino también los permisos adecuados para el recurso específico a cuyas etiquetas está intentando acceder. En función del tipo de operaciones, puede asociar una de estas políticas:
La política AWS gestionada [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)concede permisos a las operaciones de solo lectura para los recursos de cada servicio. AWS actualiza automáticamente esta política con los nuevos AWS servicios a medida que están disponibles.
Muchos servicios proporcionan políticas AWS administradas de solo lectura específicas para cada servicio que puede utilizar para limitar el acceso únicamente a los recursos proporcionados por ese servicio. [Por ejemplo, Amazon EC2 proporciona Amazon. EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Podría crear su propia política que conceda acceso únicamente a las operaciones de solo lectura muy específicas para los pocos servicios y recursos a los que desea que accedan sus usuarios. Esta política utiliza una estrategia de “lista de permitidos” o una estrategia de lista de rechazados.
Una estrategia de lista de permitidos aprovecha el hecho de que el acceso está denegado de forma predeterminada hasta que se ***permita explícitamente*** en una política. Por lo tanto, puede utilizar una política como la del siguiente ejemplo:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
Como alternativa, puede utilizar una estrategia de “lista de denegados” que permita el acceso a todos los recursos excepto a aquellos que bloquee de forma explícita.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Añadir manualmente los permisos de Resource Groups y Tag Editor
+ `resource-groups:*` (Este permiso permite todas las acciones de Resource Groups. Si, por el contrario, desea restringir las acciones que están disponibles para un usuario, puede sustituir el asterisco por una [acción específica de Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) o por una lista de acciones separadas por comas)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**nota**
El permiso `resource-groups:SearchResources` permite al Editor de etiquetas enumerar los recursos al filtrar la búsqueda mediante claves o valores de etiqueta.
El permiso `resource-explorer:ListResources` permite al Editor de etiquetas enumerar los recursos al buscar recursos sin definir las etiquetas de búsqueda.
Para usar Resource Groups y Tag Editor en la consola, también necesita permiso para ejecutar la acción `resource-groups:ListGroupResources`. Este permiso es necesario para mostrar los tipos de recursos disponibles en la región actual. Por el momento, no se admite el uso de condiciones de política con `resource-groups:ListGroupResources`.
# Otorgar permisos para usar un Grupos de recursos de AWS editor de etiquetas
Para añadir una política de uso Grupos de recursos de AWS de un editor de etiquetas a un usuario, haga lo siguiente.
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam).
1. En el panel de navegación, seleccione **Usuarios**.
1. Busca el usuario al que quieres conceder los permisos Grupos de recursos de AWS de Tag Editor. Elija el nombre del usuario para abrir la página de propiedades del usuario.
1. Elija **Añadir permisos**.
1. Elija **Adjuntar directamente políticas existentes**.
1. Elija **Crear política**.
1. En la pestaña **JSON**, pegue la instrucción de política siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**nota**
Esta instrucción de política de ejemplo únicamente concede permisos para las acciones de Grupos de recursos de AWS y Tag Editor. No permite el acceso a AWS Systems Manager las tareas de la Grupos de recursos de AWS consola. Por ejemplo, esta política no concede permiso para utilizar los comandos de Systems Manager Automation. Para realizar tareas de Systems Manager con los grupos de recursos, debe tener permisos de Systems Manager asociados a su política (como, por ejemplo, `ssm:*`). Para obtener más información acerca de la concesión de acceso a Systems Manager, consulte [Configuración del acceso a Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) en la *Guía del usuario de AWS Systems Manager *.
1. Elija **Revisar política**.
1. Asigne un nombre y una descripción a la política nueva. (por ejemplo, `AWSResourceGroupsQueryAPIAccess`).
1. Elija **Crear política**.
1. Ahora que la política está guardada en IAM, puede asociarla a otros usuarios. Para obtener más información sobre cómo añadir una política a un usuario, consulte [Agregar permisos asociando políticas directamente al usuario](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy) en la *Guía del usuario de IAM*.