Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Que sont les groupes de ressources ?
Vous pouvez utiliser *des groupes de ressources* pour organiser vos AWS ressources. Groupes de ressources AWS est le service qui vous permet de gérer et d'automatiser des tâches sur un grand nombre de ressources à la fois. Ce guide vous explique comment créer et gérer des groupes de ressources dans Groupes de ressources AWS. Les tâches que vous pouvez effectuer sur une ressource varient en fonction du AWS service que vous utilisez. Pour obtenir la liste des services pris en charge Groupes de ressources AWS et une brève description de ce que chaque service vous permet de faire avec un groupe de ressources, voir[AWS des services qui fonctionnent avec Groupes de ressources AWS](integrated-services-list.md).
Vous pouvez accéder à Resource Groups via l'un des points d'entrée suivants.
+ Dans [AWS Management Console](https://console.aws.amazon.com/console/home)la barre de navigation supérieure, sélectionnez **Services**. Ensuite, sous **Management & Governance**, choisissez **Resource Groups & Tag Editor**.
Lien direct : [Groupes de ressources AWS console](https://console.aws.amazon.com/resource-groups)
+ En utilisant l'API Resource Groups, dans AWS CLI les commandes ou dans les langages de programmation du AWS SDK. Consultez la [https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html) pour plus d'informations.
**Pour travailler avec des groupes de ressources à la AWS Management Console maison**
1. Connectez-vous au AWS Management Console.
1. Dans la barre de navigation, choisissez **Services**.
1. Sous **Management & Governance**, sélectionnez **Resource Groups & Tag Editor**.
1. Dans le volet de navigation de gauche, choisissez **Saved Resource Groups** pour travailler avec un groupe existant ou **Create a Group** pour en créer un nouveau.
## Les ressources et leurs types de groupes
Dans AWS, une *ressource* est une entité avec laquelle vous pouvez travailler. Les exemples incluent une instance Amazon EC2, une AWS CloudFormation pile ou un compartiment Amazon S3. Si vous travaillez avec plusieurs ressources, il peut être utile de les gérer en groupe plutôt que de passer d'un AWS service à l'autre pour chaque tâche. Si vous gérez un grand nombre de ressources connexes, telles que des instances EC2 qui constituent une couche d'application, vous aurez probablement besoin d'exécuter des actions par lots simultanément sur ces ressources. Les exemples d'actions en bloc incluent :
+ L'application de mises à jour ou de correctifs de sécurité.
+ La mise à niveau des applications
+ L'ouverture ou la fermeture de ports au trafic réseau.
+ La collecte de données de surveillance et de journaux spécifiques à partir de votre parc d'instances.
Un *groupe de ressources* est un ensemble de AWS ressources qui se trouvent toutes dans la même Région AWS entité et qui répondent aux critères spécifiés dans la requête du groupe. Dans Resource Groups, il existe deux types de requêtes que vous pouvez utiliser pour créer un groupe. Les deux types de requête incluent les ressources qui sont spécifiés dans le format `AWS::service::resource`.
+ **Basé sur des balises**
Un groupe de ressources basé sur des balises base son appartenance sur une requête qui spécifie une liste de types de ressources et de balises. Les *balises* sont des clés qui facilitent l'identification et le tri de vos ressources au sein de votre organisation. Le cas échéant, les balises incluent des valeurs pour les clés.
**Important**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Nous utilisons des tags pour vous fournir des services de facturation et d'administration. Les étiquettes ne sont pas destinées à être utilisées pour des données privées ou sensibles.
+ **CloudFormation basé sur une pile**
Un groupe de ressources CloudFormation basé sur une pile base son adhésion sur une requête qui indique une CloudFormation pile dans votre compte dans la région actuelle. Vous pouvez éventuellement choisir les types de ressources dans la pile que vous souhaitez inclure dans le groupe. Vous ne pouvez baser votre requête que sur une seule CloudFormation pile.
**Groupes de ressources liés à un service**
Certains Services AWS définissent des groupes de ressources que vous pouvez créer et gérer uniquement à l'aide de la console de ce service et APIs. Vous êtes limité dans ce que vous pouvez faire avec ces groupes dans la console Resource Groups. Pour plus d'informations, consultez la section [Configurations de service pour les groupes de ressources](https://docs.aws.amazon.com/ARG/latest/APIReference/about-slg.html) dans le *Guide de référence des Groupes de ressources AWS API*.
Les groupes de ressources peuvent être *imbriqués* ; un groupe de ressources peut contenir des groupes de ressources existantes dans la même région.
### Cas d'utilisation pour les groupes de ressources
Par défaut, AWS Management Console il est organisé par AWS service. Mais avec Resource Groups, vous pouvez créer une console personnalisée qui organise et consolide les informations en fonction des critères spécifiés dans les balises ou des ressources d'une CloudFormation pile. La liste suivante décrit certains des cas dans lesquels le regroupement des ressources facilite l'organisation de vos ressources.
+ Une application avec différentes phases, par exemple, une phase de développement, une phase intermédiaire et une phase de production.
+ Projets gérés par plusieurs services ou personnes.
+ Ensemble de AWS ressources que vous utilisez ensemble pour un projet commun ou que vous souhaitez gérer ou surveiller en groupe.
+ Un ensemble de ressources connexes aux applications s'exécutant sur une plateforme spécifique, comme Android ou iOS.
Par exemple, vous développez une application web et vous gérez des ensembles de ressources séparés pour vos étapes alpha, bêta et de mise en production. Chaque version fonctionne sur Amazon EC2 avec un volume de stockage Amazon Elastic Block Store. Vous utilisez Elastic Load Balancing pour gérer le trafic et Route 53 pour gérer votre domaine. Sans Resource Groups, il se peut que vous deviez accéder à plusieurs consoles uniquement pour vérifier l'état de vos services ou modifier les paramètres d'une version de votre application.
Avec Resource Groups, vous pouvez consulter et gérer vos ressources sur une seule page. Supposons, par exemple, que vous utilisiez l'outil pour créer un groupe de ressources pour chaque version (alpha, bêta et version) de votre application. Pour vérifier vos ressources pour la version alpha de votre application, ouvrez votre groupe de ressources. Les informations consolidées sont disponibles sur la page de votre groupe de ressources. Pour modifier une ressource spécifique, choisissez les liens de la ressource sur la page de votre groupe pour accéder rapidement à la console de service disposant des paramètres dont vous avez besoin.
## Groupes de ressources AWS et autorisations
Les autorisations relatives à la fonctionnalité Resource Groups se situent au niveau du compte. Tant que les principaux IAM, tels que les rôles et les utilisateurs, qui partagent votre compte disposent des autorisations IAM appropriées, ils peuvent travailler avec les groupes de ressources que vous créez.
Les balises sont les propriétés d'une ressource. Elles sont donc partagées dans l'ensemble de votre compte. Les utilisateurs d'un service ou d'un groupe spécialisé peuvent se baser sur un vocabulaire (balises) commun au service ou au compte pour créer des groupes de ressources significatifs pour leurs rôles et responsabilités. Le fait de partager un pool de balises permet également aux utilisateurs qui partagent un groupe de ressources de ne plus avoir à se préoccuper du manque d'informations ou des conflits d'informations concernant les balises.
## Groupes de ressources AWS ressources
Dans Resource Groups, la seule ressource disponible est un groupe. Les groupes sont associés à des noms de ressources Amazon (ARNs) uniques. Pour plus d'informations sur ARNs, consultez [Amazon Resource Names (ARN) et AWS Service Namespaces](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) dans le *Référence générale d'Amazon Web Services*.
| Type de ressource | Format ARN |
| --- | --- |
| Groupe de ressources | `arn:aws:resource-groups:region:account:group/group-name` |
## Comment fonctionne le balisage
Les balises sont des paires clé/valeur qui agissent comme des métadonnées pour organiser vos AWS ressources. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises lorsque vous créez la ressource, qu'il s'agisse d'une instance Amazon EC2, d'un compartiment Amazon S3 ou d'une autre ressource. Cependant, vous pouvez également ajouter simultanément des balises à plusieurs ressources supportées à l'aide de Tag Editor. Vous créez une requête pour des ressources de différents types, puis ajoutez, supprimez ou remplacez des balises pour les ressources de vos résultats de recherche. Les requêtes basées sur des balises attribuent un opérateur `AND` aux balises, afin que toutes les ressources correspondant aux types de ressources spécifiés et à toutes les balises spécifiées soient renvoyées par la requête.
**Important**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Nous utilisons des tags pour vous fournir des services de facturation et d'administration. Les étiquettes ne sont pas destinées à être utilisées pour des données privées ou sensibles.
Pour plus d'informations sur le balisage, consultez le [guide de l'utilisateur de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide). Vous pouvez baliser les [ressources prises en charge](supported-resources.md) en utilisant Tag Editor ainsi que certaines ressources supplémentaires à l'aide d'une fonctionnalité de balisage dans la console de service dans laquelle vous créez et gérez la ressource.
# Commencer avec Groupes de ressources AWS
Dans AWS, une *ressource* est une entité avec laquelle vous pouvez travailler. Les exemples incluent une instance Amazon EC2, un compartiment Amazon S3 ou une zone hébergée Amazon Route 53. Si vous travaillez avec plusieurs ressources, il peut être utile de les gérer en groupe plutôt que de passer d'un AWS service à l'autre pour chaque tâche.
Cette section vous montre comment démarrer Groupes de ressources AWS. Tout d'abord, organisez les AWS ressources en les balisant dans l'éditeur de balises. Créez ensuite des requêtes dans Resource Groups qui incluent les types de ressources que vous souhaitez inclure dans un groupe et les balises que vous avez appliquées aux ressources.
Après avoir créé des groupes de ressources dans Resource Groups, utilisez AWS Systems Manager des outils tels que Automation pour simplifier les tâches de gestion de vos groupes de ressources.
Pour plus d'informations sur la prise en main des AWS Systems Manager fonctionnalités et des outils, consultez le [https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html).
**Topics**
+ [Conditions préalables pour travailler avec Groupes de ressources AWS](gettingstarted-prereqs.md)
+ [En savoir plus sur Groupes de ressources AWS l'autorisation et le contrôle d'accès](rg-auth-access.md)
# Conditions préalables pour travailler avec Groupes de ressources AWS
Avant de commencer à travailler avec les groupes de ressources, veillez à disposer d'un compte AWS actif avec les ressources existantes et les droits appropriés pour baliser des ressources et créer des groupes.
**Topics**
+ [Inscrivez-vous pour AWS](#gettingstarted-prereqs-signup)
+ [Créer des ressources](#gettingstarted-prereqs-create)
+ [Configuration d’autorisations](gettingstarted-prereqs-permissions.md)
## Inscrivez-vous pour AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
## Créer des ressources
Vous pouvez créer un groupe de ressources vide, mais vous ne pourrez effectuer aucune tâche sur les membres du groupe de ressources tant qu'il n'y aura pas de ressources dans le groupe. Pour plus d'informations sur les types de ressources pris en charge, consultez [Types de ressources que vous pouvez utiliser avec Groupes de ressources AWS l'éditeur de balises](supported-resources.md).
# Configuration d’autorisations
Pour exploiter pleinement les groupes de ressources et Tag Editor, vous pouvez avoir besoin d'autorisations supplémentaires pour baliser les ressources ou pour consulter les valeurs et les clés de balise d'une ressource. Ces autorisations de lancement sont réparties en plusieurs catégories :
+ Les autorisations pour les services individuels, afin de pouvoir baliser des ressources à partir de ces services et les inclure dans des groupes de ressources.
+ Autorisations requises pour utiliser la console Tag Editor
+ Autorisations requises pour utiliser la Groupes de ressources AWS console et l'API.
Si vous êtes administrateur, vous pouvez fournir des autorisations à vos utilisateurs en créant des politiques via le service Gestion des identités et des accès AWS (IAM). Vous devez d'abord créer vos principaux, tels que les rôles ou les utilisateurs IAM, ou associer des identités externes à votre AWS environnement à l'aide d'un service tel que. AWS IAM Identity Center Vous appliquez ensuite des politiques avec les autorisations dont vos utilisateurs ont besoin. Pour plus d'informations sur la création et l'attachement de politiques IAM, consultez la section [Utilisation des politiques](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).
## Autorisations pour des services individuels
**Important**
Cette section décrit les autorisations requises si vous souhaitez étiqueter des ressources provenant d'autres consoles de service et APIs ajouter ces ressources à des groupes de ressources.
Comme décrit dans [Les ressources et leurs types de groupes](resource-groups.md#resource-groups-intro), chaque groupe de ressources représente un ensemble de ressources de types spécifiés qui partagent une ou plusieurs valeurs ou clés de balise. Pour ajouter des balises à une ressource, vous devez disposer des autorisations nécessaires pour le service auquel appartient la ressource. Par exemple, pour baliser des instances Amazon EC2, vous devez être autorisé à effectuer les actions de balisage dans l'API de ce service, telles que celles répertoriées dans le guide de l'utilisateur [Amazon](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI) EC2.
Pour utiliser pleinement la fonction Groupes de ressources, vous avez besoin d'autres autorisations qui vous permettent d'accéder à la console d'un service, où vous pourrez interagir avec les ressources. Pour des exemples de telles politiques pour Amazon EC2, consultez la section [Exemples de politiques pour travailler dans la console Amazon EC2 dans le](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html) guide de l'utilisateur Amazon *EC2*.
## Autorisations requises pour Resource Groups et Tag Editor
Pour utiliser Resource Groups et Tag Editor, les autorisations suivantes doivent être ajoutées à la déclaration de politique d'un utilisateur dans IAM. Vous pouvez soit ajouter des politiques AWS gérées qui sont maintenues et conservées up-to-date par AWS, soit créer et gérer votre propre politique personnalisée.
### Utilisation de politiques AWS gérées pour les autorisations Resource Groups et Tag Editor
Groupes de ressources AWS et Tag Editor prennent en charge les politiques AWS gérées suivantes que vous pouvez utiliser pour fournir un ensemble prédéfini d'autorisations à vos utilisateurs. Vous pouvez associer ces politiques gérées à n'importe quel utilisateur, rôle ou groupe comme vous le feriez pour toute autre politique que vous créez.
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Cette politique accorde au rôle IAM ou à l'utilisateur associé l'autorisation d'appeler les opérations en lecture seule pour Resource Groups et Tag Editor. Pour lire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Cette politique accorde au rôle IAM ou à l'utilisateur attaché l'autorisation d'appeler n'importe quelle opération Resource Groups et les opérations de lecture et d'écriture de balises dans Tag Editor. Pour lire ou écrire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte (voir la note importante suivante).
**Important**
Les deux politiques précédentes accordent l'autorisation d'appeler les opérations Resource Groups et Tag Editor et d'utiliser ces consoles. Pour les opérations Resource Groups, ces politiques sont suffisantes et accordent toutes les autorisations nécessaires pour utiliser n'importe quelle ressource dans la console Resource Groups.
Toutefois, pour les opérations de balisage et la console Tag Editor, les autorisations sont plus détaillées. Vous devez disposer des autorisations non seulement pour invoquer l'opération, mais également des autorisations appropriées pour la ressource spécifique dont vous essayez d'accéder aux balises. Pour accorder cet accès aux balises, vous devez également joindre l'une des politiques suivantes :
La politique AWS-managed [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)accorde des autorisations aux opérations en lecture seule pour les ressources de chaque service. AWS tient automatiquement cette politique à jour avec les nouveaux AWS services dès qu'ils sont disponibles.
De nombreux services fournissent des politiques AWS gérées en lecture seule spécifiques à un service que vous pouvez utiliser pour limiter l'accès aux seules ressources fournies par ce service. [Par exemple, Amazon EC2 fournit Amazon. EC2 ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Vous pouvez créer votre propre politique qui n'accorde l'accès qu'à des opérations de lecture seule très spécifiques pour les quelques services et ressources auxquels vous souhaitez que vos utilisateurs accèdent. Cette politique utilise soit une stratégie de « liste d'autorisation », soit une stratégie de liste de refus.
Une stratégie de liste d'autorisation tire parti du fait que l'accès est refusé par défaut tant que vous ***ne l'autorisez pas explicitement*** dans une politique. Vous pouvez donc utiliser une politique comme dans l'exemple suivant :
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
Vous pouvez également utiliser une stratégie de « liste de refus » qui autorise l'accès à toutes les ressources, à l'exception de celles que vous bloquez explicitement.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Ajouter manuellement les autorisations Resource Groups et Tag Editor
+ `resource-groups:*`(Cette autorisation autorise toutes les actions Resource Groups. Si vous souhaitez plutôt restreindre les actions accessibles à un utilisateur, vous pouvez remplacer l'astérisque par une [action Resource Groups spécifique](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) (ou par une liste d'actions séparées par des virgules)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**Note**
L'`resource-groups:SearchResources`autorisation permet à Tag Editor de répertorier les ressources lorsque vous filtrez votre recherche à l'aide de clés ou de valeurs de balise.
L'`resource-explorer:ListResources`autorisation permet à l'éditeur de balises de répertorier les ressources lorsque vous recherchez des ressources sans définir de balises de recherche.
Pour utiliser Resource Groups et Tag Editor dans la console, vous devez également être autorisé à exécuter l'`resource-groups:ListGroupResources`action. Cette autorisation est nécessaire pour répertorier les types de ressources disponibles dans la région actuelle. L'utilisation de conditions de politique avec n'`resource-groups:ListGroupResources`est actuellement pas prise en charge.
# Octroi d'autorisations pour l'utilisation Groupes de ressources AWS de l'éditeur de balises
Pour ajouter une politique d'utilisation Groupes de ressources AWS d'un éditeur de balises à un utilisateur, procédez comme suit.
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam).
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Recherchez l'utilisateur à qui vous souhaitez accorder des autorisations Groupes de ressources AWS ainsi que l'éditeur de balises. Choisissez le nom d'utilisateur pour ouvrir la page des propriétés de l'utilisateur.
1. Choisissez **Ajouter des autorisations**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'onglet **JSON**, collez la déclaration de stratégie suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**Note**
Cet exemple de déclaration de politique accorde des autorisations uniquement pour les actions Groupes de ressources AWS et les actions de l'éditeur de balises. Il n'autorise pas l'accès aux AWS Systems Manager tâches de la Groupes de ressources AWS console. Par exemple, cette politique ne vous autorise pas à utiliser les commandes d'automatisation de Systems Manager. Pour exécuter des tâches de Systems Manager sur des groupes de ressources, vous devez disposer des autorisations Systems Manager associées à votre politique (par exemple`ssm:*`). Pour plus d'informations sur l'octroi de l'accès à Systems Manager, consultez [la section Configuration de l'accès à Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
1. Choisissez **Examiner une politique**.
1. Donnez à la nouvelle stratégie un nom et une description (par exemple, `AWSResourceGroupsQueryAPIAccess`).
1. Choisissez **Create Policy** (Créer une politique).
1. Maintenant que la politique est enregistrée dans IAM, vous pouvez l'associer à d'autres utilisateurs. Pour plus d'informations sur la façon d'ajouter une politique à un utilisateur, consultez la section [Ajouter des autorisations en attachant des politiques directement à l'utilisateur](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy) dans le *guide de l'utilisateur IAM*.
# En savoir plus sur Groupes de ressources AWS l'autorisation et le contrôle d'accès
Resource Groups prend en charge les solutions suivantes.
+ **Stratégies basées sur une action.** Par exemple, vous pouvez créer une politique qui autorise les utilisateurs à effectuer des [https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html)opérations, mais pas d'autres.
+ **Autorisations au niveau des ressources.** Resource Groups prend en charge l'utilisation [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)pour spécifier des ressources individuelles dans la politique.
+ **Autorisation basée sur des tags.** Resource Groups prend en charge l'utilisation de balises de ressources dans le cadre d'une politique. Par exemple, vous pouvez créer une politique qui permet aux utilisateurs de Resource Groups d'accéder pleinement à un groupe que vous avez balisé.
+ **Informations d’identification temporaires.** Les utilisateurs peuvent assumer un rôle dans le cadre d'une politique autorisant les Groupes de ressources AWS opérations.
Resource Groups ne prend pas en charge les politiques basées sur les ressources.
Pour plus d'informations sur la manière dont Resource Groups et Tag Editor s'intègrent à Gestion des identités et des accès AWS (IAM), consultez les rubriques suivantes du *guide de l'Gestion des identités et des accès AWS utilisateur*.
+ [AWS services qui fonctionnent avec IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Actions, ressources et clés de condition pour Groupes de ressources AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)
+ [Contrôle de l'accès à l'aide de politiques](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)
# AWS des services qui fonctionnent avec Groupes de ressources AWS
Vous pouvez utiliser les AWS services suivants avec Groupes de ressources AWS.
****
| AWS service | Utilisation avec Resource Groups |
| --- | --- |
| [AWS CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/)— Créez des groupes de ressources à CloudFormation l'aide d'un modèle de pile. | Fournir et organiser AWS les ressources en même temps. Organisez les ressources par balises. Organisez les ressources provenant d'une autre pile. Collectez des informations sur vos AWS ressources dans des groupes de ressources à l'aide d'Amazon CloudWatch ou prenez des mesures opérationnelles à l'aide de AWS Systems Manager. Pour plus d’informations, consultez [Référence du type de ressource ResourceGroups](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ResourceGroups.html) dans le *Guide de l’utilisateur AWS CloudFormation *. |
| [CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/)— Capturez toutes les actions des groupes de ressources à l'aide de AWS CloudTrail. | Capturez des informations sur les actions effectuées sur vos groupes de ressources, notamment des informations telles que l'auteur de l'action (principal IAM, tel qu'un rôle, un utilisateur ou un Service AWS), le moment où l'action a été effectuée, le lieu où l'action s'est produite (l'adresse IP source), etc. Ces enregistrements peuvent ensuite être utilisés à des fins d'analyse ou pour déclencher des actions de suivi. Pour plus d'informations, consultez [Affichage des événements avec l'historique des événements CloudTrail ](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html). |
| [Amazon CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) — Activez la surveillance en temps réel de vos AWS ressources et des applications que vous utilisez AWS. | Concentrez votre affichage pour afficher les métriques et les alarmes provenant d'un seul groupe de ressources. Pour plus d'informations, consultez la section [Concentrez-vous sur les métriques et les alarmes dans un groupe de ressources](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch_Automatic_Dashboards_Resource_Group.html) dans le *guide de CloudWatch l'utilisateur Amazon.* |
| [Amazon CloudWatch Application Insights](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) : détectez les problèmes courants liés à vos applications .NET et SQL Server. | Surveillez les ressources de vos applications .NET et SQL Server qui appartiennent à un groupe de ressources. Pour plus d'informations, consultez la section [Composants d'application pris en charge](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html#appinsights-components) dans le *guide de CloudWatch l'utilisateur Amazon*. |
| Groupes de [tables Amazon DynamoDB](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html) : organisez vos tables DynamoDB en groupes logiques afin de gérer plus facilement vos ressources. | **Créez, modifiez et supprimez des groupes de tables DynamoDB à partir du menu Action DynamoDB.** Pour plus d'informations, consultez le guide du [https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html). |
| [Hôtes EC2 dédiés Amazon](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/dedicated-hosts-overview.html) : utilisez vos licences logicielles existantes par socket, par cœur ou par machine virtuelle, notamment Windows Server, Microsoft SQL Server, SUSE et Linux Enterprise Server. | Lancez EC2 des instances Amazon dans des groupes de ressources hôtes pour optimiser votre utilisation des hôtes dédiés. Pour plus d'informations, consultez la section [Travailler avec des hôtes dédiés](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html) dans le *guide de EC2 l'utilisateur Amazon.* |
| [Réservations EC2 de capacité Amazon](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) : réservez de la capacité pour vos EC2 instances Amazon à utiliser lorsque vous en avez besoin. Vous pouvez spécifier des attributs pour la réservation de capacité afin qu'elle ne fonctionne qu'avec EC2 les instances Amazon lancées avec des attributs correspondants. | Lancez vos EC2 instances Amazon dans des groupes de ressources contenant une ou plusieurs réservations de capacité. Si le groupe ne dispose pas d'une réservation de capacité avec les attributs correspondants et la capacité disponible pour une instance demandée, celle-ci s'exécute en tant qu'instance à la demande. Si vous ajoutez ultérieurement une réservation de capacité correspondante au groupe cible, l'instance est automatiquement mise en correspondance avec la capacité réservée et déplacée vers celle-ci. Pour plus d'informations, consultez la section [Travailler avec des groupes de réservation de capacité](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/capacity-reservations-using.html#create-cr-group) dans le *guide de EC2 l'utilisateur Amazon.* |
| [AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/license-manager.html)— Simplifiez le processus de transfert des licences des fournisseurs de logiciels vers le cloud. | Configurez un groupe de ressources d'hôtes pour permettre à License Manager de gérer vos hôtes dédiés. Pour plus d'informations, consultez [Host Resource Groups in License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html) dans le *Guide de l'utilisateur du License Manager.* |
| [AWS Resilience Hub](https://docs.aws.amazon.com//resilience-hub/latest/userguide/) — Préparez et protégez vos applications contre les perturbations. | Découvrez vos applications définies à l'aide de Resource Groups. Pour plus d'informations, consultez [Mesurer et améliorer la résilience de vos applications avec AWS Resilience Hub](https://aws.amazon.com/blogs/aws/monitor-and-improve-your-application-resiliency-with-resilience-hub/) dans le *blog d'AWS actualités*. |
| [AWS Resource Access Manager](https://docs.aws.amazon.com//ram/latest/userguide/)— Partagez AWS des ressources spécifiques que vous possédez avec d'autres comptes. | Partagez des groupes de ressources hôtes à l'aide de AWS RAM. Pour plus d'informations, consultez la section [Ressources partageables](https://docs.aws.amazon.com//ram/latest/userguide/shareable.html#shareable-arg) dans le *Guide de l'AWS RAM utilisateur*. |
| [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html)— Définissez et gérez vos applications et leurs métadonnées. | Lorsque vous créez une application dans AppRegistry, ce service crée automatiquement un groupe de ressources pour cette application. Le groupe de ressources de l'application est un ensemble de toutes les ressources de votre application. Le service crée également un groupe de ressources CloudFormation basé sur une pile pour chaque pile associée à l'application. Pour plus d'informations, consultez la section [Utilisation AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html) dans le *guide de AWS Service Catalog l'administrateur*. |
| [AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html)— Améliorez la visibilité et le contrôle de vos AWS ressources. | Collectez des informations opérationnelles et effectuez des actions groupées sur vos applications en fonction de groupes de ressources. Dans la AWS Systems Manager console, la page **Applications personnalisées** d'Application Manager importe et affiche automatiquement les données d'opérations pour les applications basées sur des groupes de ressources. Vous pouvez utiliser les informations contenues dans le gestionnaire d'applications pour vous aider à déterminer quelles ressources d'une application sont conformes et fonctionnent correctement et quelles ressources nécessitent une action. Pour plus d'informations, consultez la section [Utilisation des applications dans le Gestionnaire d'applications](https://docs.aws.amazon.com//systems-manager/latest/userguide/application-manager-working-applications.html) dans le *Guide de AWS Systems Manager l'utilisateur*. |
| [Analyseur d'accès réseau Amazon VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/) — Identifiez les accès réseau indésirables à vos ressources sur. AWS | Vous pouvez spécifier les sources et les destinations correspondant à vos besoins d'accès au réseau en utilisant Groupes de ressources AWS. Cela vous permet de gérer l'accès au réseau dans l'ensemble de votre AWS environnement, indépendamment de la façon dont vous configurez votre réseau. Pour plus d'informations, consultez [Use Resource Groups with Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/working-with-network-access-scopes.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*. |
# Configurations de service pour les groupes de ressources
Les groupes de ressources vous permettent de gérer les collections de vos AWS ressources en tant qu'unité. Certains AWS services prennent en charge cela en effectuant les opérations demandées sur tous les membres du groupe. Ces services peuvent stocker les paramètres à appliquer aux membres du groupe sous forme de *configuration* sous la forme d'une structure de données [JSON](https://www.json.org/) attachée au groupe.
Cette rubrique décrit les paramètres de configuration disponibles pour les AWS services pris en charge.
**Topics**
+ [Comment accéder à la configuration de service attachée à un groupe de ressources](#about-slg-how-to-access)
+ [Syntaxe JSON d'une configuration de service](#about-slg-config-syntax)
+ [Types et paramètres de configuration pris en charge](about-slg-types.md)
## Comment accéder à la configuration de service attachée à un groupe de ressources
Les services qui prennent en charge les groupes liés à des services définissent généralement la configuration pour vous lorsque vous utilisez les outils fournis par ce service, tels que la console de gestion de ce service ou ses opérations AWS CLI et le AWS SDK. Certains services gèrent entièrement leurs groupes liés aux services et vous ne pouvez pas les modifier, sauf dans les limites autorisées par la console ou par les commandes fournies par le service propriétaire AWS . Toutefois, dans certains cas, vous pouvez interagir avec la configuration du service en utilisant les opérations d'API suivantes dans le AWS SDKs ou leurs AWS CLI équivalents :
+ Vous pouvez associer votre propre configuration à un groupe lorsque vous créez le groupe à l'aide de l'[CreateGroup](https://docs.aws.amazon.com//ARG/latest/APIReference/API_CreateGroup.html)opération.
+ Vous pouvez modifier la configuration actuelle attachée à un groupe à l'aide de cette [PutGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_PutGroupConfiguration.html)opération.
+ Vous pouvez consulter la configuration actuelle d'un groupe de ressources en appelant l'[GetGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GetGroupConfiguration.html)opération.
## Syntaxe JSON d'une configuration de service
Un groupe de ressources peut contenir une *configuration* qui définit les paramètres spécifiques au service qui s'appliquent aux ressources membres de ce groupe.
Une configuration est exprimée sous la forme d'un objet [JSON](https://www.json.org/). Au niveau supérieur, une configuration est un ensemble d'[éléments de configuration de groupe](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GroupConfigurationItem.html). Chaque élément de configuration de groupe contient deux éléments : un `Type` pour la configuration et un ensemble `Parameters` défini par ce type. Chaque paramètre contient un `Name` et un tableau d'un ou plusieurs paramètres`Values`. L'exemple suivant *placeholders* montre la syntaxe de base d'une configuration pour un seul type de ressource d'échantillon. Cet exemple montre un type avec deux paramètres, et chaque paramètre avec deux valeurs. Les types, paramètres et valeurs valides réels sont décrits dans la section suivante.
```
[
{
"Type": "configuration-type",
"Parameters": [
{
"Name": "parameter1-name",
"Values": [
"value1",
"value2"
]
},
{
"Name": "parameter2-name",
"Values": [
"value3",
"value4"
]
}
]
}
]
```
# Types et paramètres de configuration pris en charge
Resource Groups prend en charge l'utilisation des types de configuration suivants. Chaque type de configuration possède un ensemble de paramètres valides pour ce type.
**Topics**
+ [`AWS::ResourceGroups::Generic`](#about-slg-types-generic)
+ [`AWS::AppRegistry::Application`](#about-slg-types-appregistry)
+ [`AWS::CloudFormation::Stack`](#about-slg-types-cloudformation)
+ [`AWS::EC2::CapacityReservationPool`](#about-slg-types-ec2-capacityreservation)
+ [`AWS::EC2::HostManagement`](#about-slg-types-resourcegroups-ec2-hostmanagement)
+ [`AWS::NetworkFirewall::RuleGroup`](#about-slg-types-network-firewall-rulegroup)
## `AWS::ResourceGroups::Generic`
Ce type de configuration spécifie les paramètres qui appliquent les exigences d'adhésion au groupe de ressources, plutôt que de configurer le comportement d'un type de ressource spécifique pour un AWS service. Ce type de configuration est automatiquement ajouté par les groupes liés aux services qui en ont besoin, tels que les types `AWS::EC2::CapacityReservationPool` et`AWS::EC2::HostManagment`.
Les éléments suivants `Parameters` sont valides pour le groupe `AWS::ResourceGroups::Generic` lié à un service. `Type`
+ **`allowed-resource-types`**
Ce paramètre indique que le groupe de ressources ne peut être composé que de ressources du ou des types spécifiés.
**Type de données des valeurs :** Chaîne
**Valeurs autorisées :**
+ `AWS::EC2::Host`— Un A `Configuration` avec ce paramètre et cette valeur est requis lorsque la configuration du service contient également un type `Configuration` of`AWS::EC2::HostManagement`. Cela garantit que le `HostManagement` groupe ne peut contenir que des hôtes dédiés Amazon EC2.
+ `AWS::EC2::CapacityReservation`— Un A `Configuration` avec ce paramètre et cette valeur est requis lorsque la configuration du service contient également un `Configuration` élément de type`AWS::EC2::CapacityReservationPool`. Cela garantit qu'un `CapacityReservation` groupe ne peut contenir que des capacités de réservation de capacité Amazon EC2.
**Obligatoire :** conditionnel, basé sur d'autres `Configuration` éléments attachés au groupe de ressources. Consultez l'entrée précédente pour les **valeurs autorisées**.
L'exemple suivant limite les membres du groupe aux seules instances hôtes Amazon EC2.
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
}
]
}
]
```
+ **`deletion-protection`**
Ce paramètre indique que le groupe de ressources ne peut être supprimé que s'il ne contient aucun membre. Pour plus d'informations, voir [Supprimer un groupe de ressources hôtes](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html#host-resource-group-delete) dans le *Guide de l'utilisateur de License Manager*
**Type de données de valeurs :** Tableau de chaînes
**Valeurs autorisées :** La seule valeur autorisée est `[ "UNLESS_EMPTY" ]` (la valeur doit être en majuscules).
**Obligatoire :** conditionnel, basé sur d'autres `Configuration` éléments attachés au groupe de ressources. Ce paramètre n'est obligatoire que lorsque le groupe de ressources possède également un autre `Configuration` élément portant le nom `Type` de`AWS::EC2::HostManagement`.
L'exemple suivant active la protection contre la suppression pour le groupe, sauf si le groupe ne compte aucun membre.
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::AppRegistry::Application`
Ce `Configuration` type indique que le groupe de ressources représente une application créée par AWS Service Catalog AppRegistry.
Les groupes de ressources de ce type sont entièrement gérés par le AppRegistry service et ne peuvent être créés, mis à jour ou supprimés par les utilisateurs qu'à l'aide des outils fournis par AppRegistry.
**Note**
Étant donné que les groupes de ressources de ce type sont automatiquement créés et gérés par l'utilisateur AWS et ne sont pas gérés par celui-ci, ils ne sont pas pris en compte dans votre limite de quota pour le [nombre maximum de groupes de ressources que vous pouvez créer dans votre Compte AWS](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas).
Pour plus d'informations, consultez la section [Utilisation AppRegistry](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/appregistry.html) dans le *Guide de l'utilisateur du Service Catalog*.
Lors de la AppRegistry création d'un groupe de ressources lié à un service de ce type, il crée également automatiquement un [groupe CloudFormation lié à un service](#about-slg-types-cloudformation) distinct et supplémentaire pour chaque AWS CloudFormation pile associée à l'application.
AppRegistry nomme automatiquement les groupes liés à un service de ce type qu'il crée avec le préfixe `AWS_AppRegistry_Application-` suivi du nom de l'application : `AWS_AppRegistry_Application-MyAppName`
Les paramètres suivants sont pris en charge pour le type de groupe `AWS::AppRegistry::Application` lié à un service.
+ **`Name`**
Ce paramètre spécifie le nom convivial de l'application qui a été attribué par l'utilisateur lors de sa création dans AppRegistry.
**Type de données des valeurs :** Chaîne
**Valeurs autorisées :** toute chaîne de texte autorisée par le AppRegistry service pour le nom d'une application.
**Obligatoire** : oui
+ **`Arn`**
Ce paramètre spécifie le chemin [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) de l'application attribué par AppRegistry.
**Type de données des valeurs :** Chaîne
**Valeurs autorisées :** un ARN valide.
**Obligatoire** : oui
**Note**
Pour modifier l'un de ces éléments, vous devez modifier l'application à l'aide de la AppRegistry console ou du AWS SDK et des AWS CLI opérations de ce service.
Ce groupe de ressources d'applications inclut automatiquement en tant que membres du groupe [les groupes de ressources créés pour les CloudFormation piles](#about-slg-types-cloudformation) associées à l' AppRegistry application. Vous pouvez utiliser cette [ListGroupResources](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroupResources.html)opération pour voir ces groupes d'enfants.
L'exemple suivant montre à quoi ressemble la section de configuration d'un groupe `AWS::AppRegistry::Application` lié à un service.
```
[
{
"Type": "AWS::AppRegistry::Application",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyApplication"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:servicecatalog:us-east-1:123456789012:/applications/"
]
}
]
}
]
```
## `AWS::CloudFormation::Stack`
Ce `Configuration` type indique que le groupe représente une AWS CloudFormation pile et que ses membres sont les AWS ressources créées par cette pile.
Les groupes de ressources de ce type sont automatiquement créés pour vous lorsque vous CloudFormation associez une pile au AppRegistry service. Vous ne pouvez pas créer, mettre à jour ou supprimer ces groupes si ce n'est en utilisant les outils fournis par AppRegistry.
AppRegistry nomme automatiquement les groupes liés à un service de ce type qu'il crée avec le préfixe `AWS_CloudFormation_Stack-` suivi du nom de la pile : `AWS_CloudFormation_Stack-MyStackName`
**Note**
Étant donné que les groupes de ressources de ce type sont automatiquement créés et gérés par l'utilisateur AWS et ne sont pas gérés par celui-ci, ils ne sont pas pris en compte dans votre limite de quota pour le [nombre maximum de groupes de ressources que vous pouvez créer dans votre Compte AWS](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas).
Pour plus d'informations, consultez la section [Utilisation AppRegistry](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/AppRegistry.html) dans le *Guide de l'utilisateur du Service Catalog*.
AppRegistry crée automatiquement un groupe de ressources lié à un service de ce type pour chaque CloudFormation pile que vous associez à l' AppRegistry application. Ces groupes de ressources deviennent des membres enfants du [groupe de ressources parent de l' AppRegistryapplication](#about-slg-types-appregistry).
Les membres de ce groupe de CloudFormation ressources sont les AWS ressources créées dans le cadre de la pile.
Les paramètres suivants sont pris en charge pour le type de groupe `AWS::CloudFormation::Stack` lié à un service.
+ **`Name`**
Ce paramètre indique le nom convivial de la CloudFormation pile attribué par l'utilisateur lors de sa création.
**Type de données des valeurs :** Chaîne
**Valeurs autorisées :** toute chaîne de texte autorisée par le CloudFormation service pour un nom de pile.
**Obligatoire** : oui
+ **`Arn`**
Ce paramètre spécifie le chemin [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) de la CloudFormation pile attachée à l'application dans AppRegistry.
**Type de données des valeurs :** Chaîne
**Valeurs autorisées :** un ARN valide.
**Obligatoire** : oui
**Note**
Pour modifier l'un de ces éléments, vous devez modifier l'application à l'aide de la AppRegistry console ou d'un AWS SDK équivalent et d' AWS CLI opérations.
L'exemple suivant montre à quoi ressemble la section de configuration d'un groupe `AWS::CloudFormation::Stack` lié à un service.
```
[
{
"Type": "AWS::CloudFormation::Stack",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyStack"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:cloudformation:us-east-1:123456789012:stack/MyStack/"
]
}
]
}
]
```
## `AWS::EC2::CapacityReservationPool`
Ce `Configuration` type indique que le groupe de ressources représente un pool commun de capacités fourni par les membres du groupe. Les membres de ce groupe de ressources doivent être titulaires d'une réservation de capacité Amazon EC2. Un groupe de ressources peut inclure à la fois des réservations de capacité que vous possédez sur votre compte et des réservations de capacité partagées avec vous à partir d'autres comptes à l'aide de AWS Resource Access Manager. Cela vous permet de lancer une instance Amazon EC2 en utilisant ce groupe de ressources comme valeur du paramètre de réservation de capacité. Dans ce cas, l'instance utilise la capacité réservée disponible dans le groupe.
Si le groupe de ressources n'a aucune capacité disponible, l'instance est lancée en tant qu'instance autonome à la demande en dehors du pool, sauf si vous configurez le groupe de ressources pour utiliser les blocs de UltraServer capacité Amazon EC2. Pour plus d'informations, consultez la section [Travailler avec des groupes de réservation de capacité](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-cr-group.html) dans le guide de l'*utilisateur Amazon EC2*.
Si vous configurez un groupe de ressources lié à un service avec un `Configuration` élément de ce type, vous devez également spécifier des `Configuration` éléments distincts avec les valeurs suivantes :
+ Un `AWS::ResourceGroups::Generic` type avec un seul paramètre :
+ Le paramètre `allowed-resource-types` et une valeur unique de`AWS::EC2::CapacityReservation`. Cela garantit que seules les réservations de capacité Amazon EC2 peuvent être membres du groupe de ressources.
+ `AWS::EC2::CapacityReservationPool`Type avec deux paramètres :
+ `reservation-type`— Nécessaire uniquement lorsque vous configurez un groupe de réservation de capacité pour les blocs de UltraServer capacité Amazon EC2. La seule valeur autorisée dans ce champ est`capacity-block`.
+ `instance-type`— Nécessaire uniquement lorsque vous configurez un groupe de réservation de capacité pour les blocs de UltraServer capacité Amazon EC2. Les valeurs autorisées dans ce champ sont `trn2u.48xlarge` et`p6e-gb200.36xlarge`.
L'exemple suivant montre la `Configuration` section d'une réservation de capacité à la demande :
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": []
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
L'exemple suivant montre la `Configuration` section prenant en charge les blocs de UltraServer capacité Amazon EC2 :
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": [
{
"Name": "instance-type",
"Values": [
"trn2u.48xlarge"
]
},
{
"Name": "reservation-type",
"Values": [
"capacity-block"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
Après avoir ajouté `instance-type` et `reservation-type` à une configuration de groupe de ressources lorsque vous utilisez des blocs de UltraServer capacité Amazon EC2, les comportements suivants s'appliquent à ce groupe de ressources :
+ Vous pouvez ajouter des réservations de capacité supplémentaires dans cette configuration de groupe de ressources, mais les réservations supplémentaires doivent également `reservation-type` comporter les valeurs set to `capacity-block` et `instance-type` set to `trn2u.48xlarge` ou`p6e-gb200.48xlarge`.
+ Actuellement, la seule valeur autorisée pour `reservation-type` est`capacity-block`, et les seules valeurs autorisées `instance-type` sont `trn2u.48xlarge` et. `p6e-gb200.48xlarge`
+ Vous ne pouvez pas ajouter de blocs de capacité Amazon EC2 pour le ML dans un groupe de ressources qui n'inclut pas les configurations `reservation-type` et`instance-type`.
+ L'ajout des paramètres `reservation-type` et `capacity-block` de configuration ne modifie pas le processus d'ajout ou de suppression de réservations de groupe.
+ Si vous supprimez la réservation de capacité du groupe, ou si vous supprimez le groupe, les réservations au sein du groupe restent utilisées jusqu'à ce que les instances soient résiliées.
+ Actuellement, les groupes de ressources dotés des paramètres `instance-type` de configuration `reservation-type` et ne peuvent pas être mis à jour après la configuration initiale. Pour modifier ou supprimer la configuration, vous devez supprimer le groupe, puis créer un nouveau groupe avec de nouvelles configurations.
+ Vous ne pouvez pas lancer une instance dans un groupe vide ou modifier une instance pour cibler un groupe vide.
## `AWS::EC2::HostManagement`
Cet identifiant spécifie les paramètres de gestion des hôtes Amazon EC2 et AWS License Manager qui sont appliqués aux membres du groupe. Pour plus d'informations, consultez la section [Groupes de ressources hôtes dans AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html).
Si vous configurez un groupe de ressources lié à un service avec un `Configuration` élément de ce type, vous devez également spécifier des `Configuration` éléments distincts avec les valeurs suivantes :
+ Un `AWS::ResourceGroups::Generic` type, avec un paramètre `allowed-resource-types` et une valeur unique de`AWS::EC2::Host`. Cela garantit que seuls les hôtes dédiés Amazon EC2 peuvent être membres du groupe.
+ Un `AWS::ResourceGroups::Generic` type, avec un paramètre `deletion-protection` et une valeur unique de`UNLESS_EMPTY`. Cela garantit que le groupe ne peut être supprimé que s'il est vide.
Les paramètres suivants sont pris en charge pour le type de groupe `AWS::EC2::HostManagement` lié à un service.
+ **`auto-allocate-host`**
Ce paramètre indique si les instances sont lancées sur un hôte dédié spécifique ou sur un hôte disponible doté d'une configuration correspondante. Pour plus d'informations, reportez-vous à la section [Présentation du placement automatique et de l'affinité](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-understanding) dans le *Guide de l'utilisateur Amazon EC2*.
**Type de données des valeurs : booléen**
**Valeurs autorisées :** « vrai » ou « faux » (doit être en minuscules).
**Obligatoire** : non
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`auto-release-host`**
Ce paramètre indique si un hôte dédié du groupe est automatiquement libéré après l'arrêt de sa dernière instance en cours d'exécution. Pour plus d'informations, consultez la section [Libération d'hôtes dédiés](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-releasing) dans le guide de l'*utilisateur Amazon EC2*.
**Type de données des valeurs : booléen**
**Valeurs autorisées :** « vrai » ou « faux » (doit être en minuscules).
**Obligatoire** : non
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-families`**
Ce paramètre indique quelles familles de types d'instances peuvent être utilisées par les instances membres de ce groupe.
**Type de données de valeurs :** un tableau de chaînes.
**Valeurs autorisées :** chacune doit être un [identifiant de famille de type d'instance Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/instance-types.html#AvailableInstanceTypes) valide, tel que`C4`, `M5``P3dn`, ou. `R5d`
**Obligatoire** : non
L'exemple d'élément de configuration suivant indique que les instances lancées ne peuvent être membres que des familles de types d'instances C5 ou M5.
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-based-license-configurations`**
Ce paramètre spécifie les chemins [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) d'une ou de plusieurs configurations de licence core/socket basées que vous souhaitez appliquer aux membres du groupe.
**Type de données de valeurs :** un tableau de ARNs.
**Valeurs autorisées :** chacune doit être un [ARN de configuration License Manager](https://docs.aws.amazon.com//service-authorization/latest/reference/about-service-linked-groups.xmllist_awslicensemanager.html#awslicensemanager-resources-for-iam-policies) valide.
**Obligatoire :** selon les conditions. Vous devez spécifier soit ce paramètre`any-host-based-license-configuration`, soit les deux. Ils s'excluent mutuellement.
L'exemple d'élément de configuration suivant indique que les membres du groupe peuvent utiliser les deux configurations de License Manager spécifiées.
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`any-host-based-license-configuration`**
Ce paramètre indique que vous ne souhaitez pas associer une configuration de licence spécifique à votre groupe. Dans ce cas, toutes les configurations de licence core/socket basées sont disponibles pour les membres de votre groupe de ressources hôte. Utilisez ce paramètre si vous disposez d'un nombre illimité de licences et que vous souhaitez optimiser l'utilisation de l'hôte.
**Type de données des valeurs : booléen**
**Valeurs autorisées :** « vrai » ou « faux » (doit être en minuscules).
**Obligatoire :** selon les conditions. Vous devez spécifier soit ce paramètre`allowed-host-based-license-configurations`, soit les deux. Ils s'excluent mutuellement.
L'exemple d'élément de configuration suivant indique que les membres du groupe peuvent utiliser n'importe quelle configuration de licence core/socket basée.
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
L'exemple suivant montre comment inclure tous les paramètres de gestion de l'hôte dans une configuration unique.
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::NetworkFirewall::RuleGroup`
Cet identifiant spécifie les paramètres des groupes de AWS Network Firewall règles qui sont appliqués aux membres du groupe. Les administrateurs de pare-feu peuvent spécifier l'ARN d'un groupe de ressources de ce type afin de résoudre automatiquement les adresses IP des membres du groupe pour une règle de pare-feu au lieu d'avoir à répertorier chaque adresse manuellement. Pour plus d'informations, consultez la section [Utilisation de groupes de ressources basés sur des balises dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/resource-groups.html).
Vous pouvez créer des groupes de ressources de ce type de configuration à l'aide de la console Network Firewall ou en exécutant une AWS CLI commande ou une opération du AWS SDK.
Les groupes de ressources de ce type de configuration sont soumis aux restrictions suivantes :
+ Les membres du groupe se composent uniquement de ressources dont les types sont pris en charge par Network Firewall.
+ Le groupe doit contenir une requête basée sur des balises pour gérer les membres du groupe ; toutes les ressources des types pris en charge dont les balises correspondent à la requête sont automatiquement membres du groupe.
+ Ce type de configuration n'est pas `Parameters` pris en charge.
+ Pour supprimer un groupe de ressources de ce type de configuration, aucun groupe de règles Network Firewall ne peut le référencer.
L'exemple suivant illustre les `ResourceQuery` sections `Configuration` et pour un groupe de ce type.
```
{
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```
L'exemple de AWS CLI commande suivant crée un groupe de ressources avec la configuration et la requête précédentes.
```
$ aws resource-groups create-group \
--name test-group \
--resource-query '{"Type": "TAG_FILTERS_1_0", "Query": "{\"ResourceTypeFilters\": [\"AWS::EC2::Instance\"], \"TagFilters\": [{\"Key\": \"environment\", \"Values\": [\"production\"]}]}"}' \
--configuration '[{"Type": "AWS::NetworkFirewall::RuleGroup", "Parameters": []}]'
{
"Group":{
"GroupArn":"arn:aws:resource-groups:us-west-2:123456789012:group/test-group",
"Name":"test-group",
"OwnerId":"123456789012"
},
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```