Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer à utiliser Tag Editor
**Important**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Nous utilisons des tags pour vous fournir des services de facturation et d'administration. Les étiquettes ne sont pas destinées à être utilisées pour des données privées ou sensibles.
Pour ajouter des balises à plusieurs ressources à la fois, ou modifier ou supprimer des balises, utilisez l'éditeur de balises. Avec Tag Editor, vous pouvez rechercher les ressources que vous souhaitez baliser, puis gérer les balises des ressources de vos résultats de recherche.
**Pour démarrer Tag Editor**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/console/home).
1. Effectuez l'une des étapes suivantes :
+ Choisissez **Services**. Ensuite, sous **Management & Governance**, choisissez **Resource Groups & Tag Editor**. Dans le volet de navigation de gauche, choisissez **Tag Editor**.
+ Utilisez le lien direct : [console AWS Tag Editor](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources).
Des balises ne sont pas appliquées à toutes les ressources. Pour plus d'informations sur les ressources prises en charge par l'éditeur de balises, consultez la colonne de **balisage de l'éditeur de balises** sous [Types de ressources pris en charge](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) dans le *guide de Groupes de ressources AWS l'utilisateur*. Si un type de ressource que vous souhaitez baliser n'est pas pris en charge, faites-le AWS savoir en choisissant **Feedback** dans le coin inférieur gauche de la fenêtre de console.
Pour plus d'informations sur les autorisations et les rôles nécessaires pour baliser les ressources, consultez [Configuration d’autorisations](gettingstarted-prereqs-permissions.md).
**Topics**
+ [Conditions préalables à l'utilisation de Tag Editor](gettingstarted-prereqs.md)
+ [Configuration d’autorisations](gettingstarted-prereqs-permissions.md)
# Conditions préalables à l'utilisation de Tag Editor
Avant de commencer à étiqueter vos ressources, assurez-vous de disposer d'une ressource active Compte AWS avec les ressources existantes et des droits appropriés pour étiqueter les ressources et créer des groupes.
**Topics**
+ [Inscrivez-vous pour un Compte AWS](#sign-up-for-aws)
+ [Création d’un utilisateur doté d’un accès administratif](#create-an-admin)
+ [Créer des ressources](#gettingstarted-prereqs-create)
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Après vous être inscrit à un Compte AWS, sécurisez Utilisateur racine d'un compte AWS AWS IAM Identity Center, activez et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, voir [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
## Créer des ressources
Vous devez avoir des ressources dans votre balise Compte AWS to. Pour plus d'informations sur les types de ressources pris en charge, consultez la colonne de **balisage de l'éditeur de balises** sous [Types de ressources pris en charge](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) dans le *guide de Groupes de ressources AWS l'utilisateur*.
# Configuration d’autorisations
Pour utiliser pleinement l'éditeur de balises, vous aurez peut-être besoin d'autorisations supplémentaires pour étiqueter les ressources ou pour voir les clés et les valeurs des balises d'une ressource. Ces autorisations appartiennent aux catégories suivantes :
+ Les autorisations pour les services individuels, afin de pouvoir baliser des ressources à partir de ces services et les inclure dans des groupes de ressources.
+ Autorisations requises pour utiliser la console Tag Editor.
Si vous êtes administrateur, vous pouvez fournir des autorisations à vos utilisateurs en créant des politiques via le service Gestion des identités et des accès AWS (IAM). Vous créez d'abord des rôles, des utilisateurs ou des groupes IAM, puis vous appliquez les politiques avec les autorisations dont ils ont besoin. Pour plus d'informations sur la création et l'attachement de politiques IAM, consultez la section [Utilisation des politiques](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).
## Autorisations pour des services individuels
**Important**
Cette section décrit les autorisations requises si vous souhaitez étiqueter des ressources **provenant d'autres consoles de AWS service et APIs**.
Pour ajouter des balises à une ressource, vous devez disposer des autorisations nécessaires pour le service auquel appartient la ressource. [Par exemple, pour baliser des instances Amazon EC2, vous devez être autorisé à effectuer les opérations de balisage dans l'API de ce service, telles que l'opération Amazon EC2. CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html)
## Autorisations requises pour utiliser la console Tag Editor
Pour utiliser la console Tag Editor pour répertorier et étiqueter les ressources, les autorisations suivantes doivent être ajoutées à la déclaration de politique d'un utilisateur dans IAM. Vous pouvez soit ajouter des politiques AWS gérées qui sont maintenues et mises à jour par AWS, soit créer et gérer votre propre politique personnalisée.
### Utilisation de politiques AWS gérées pour les autorisations de l'éditeur de balises
L'éditeur de balises prend en charge les politiques AWS gérées suivantes que vous pouvez utiliser pour fournir un ensemble prédéfini d'autorisations à vos utilisateurs. Vous pouvez associer ces politiques gérées à n'importe quel rôle, utilisateur ou groupe comme vous le feriez pour toute autre politique que vous créez.
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
Cette politique accorde au rôle IAM ou à l'utilisateur associé l'autorisation d'appeler les opérations en lecture seule pour les deux Groupes de ressources AWS et pour Tag Editor. Pour lire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte. Pour en savoir plus, consultez la note **importante** suivante.
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
Cette politique accorde au rôle IAM ou à l'utilisateur attaché l'autorisation d'appeler n'importe quelle opération Resource Groups et les opérations de lecture et d'écriture de balises dans Tag Editor. Pour lire ou écrire les balises d'une ressource, vous devez également disposer d'autorisations pour cette ressource par le biais d'une politique distincte. Pour en savoir plus, consultez la note **importante** suivante.
**Important**
Les deux politiques précédentes accordent l'autorisation d'appeler les opérations de l'éditeur de balises et d'utiliser la console de l'éditeur de balises. Cependant, vous devez également disposer des autorisations non seulement pour appeler l'opération, mais également des autorisations appropriées pour la ressource spécifique dont vous essayez d'accéder aux balises. Pour accorder cet accès aux balises, vous devez également joindre l'une des politiques suivantes :
La politique AWS gérée [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)accorde des autorisations aux opérations en lecture seule pour les ressources de chaque service. AWS met automatiquement cette politique à jour au fur et à Services AWS mesure que les nouvelles sont disponibles.
De nombreux services fournissent des politiques AWS gérées en lecture seule spécifiques à un service que vous pouvez utiliser pour limiter l'accès aux seules ressources fournies par ce service. Par exemple, Amazon EC2 fournit. [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
Vous pouvez créer votre propre politique qui n'accorde l'accès qu'aux opérations spécifiques en lecture seule pour les quelques services et ressources auxquels vous souhaitez que vos utilisateurs accèdent. Cette politique utilise soit une stratégie de liste d'autorisation, soit une stratégie de liste de refus.
Une stratégie de liste d'autorisation tire parti du fait que l'accès est refusé par défaut tant que vous ***ne l'autorisez pas explicitement*** dans une politique. Vous pouvez donc utiliser une politique comme dans l'exemple suivant.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:444455556666:*",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
Vous pouvez également utiliser une stratégie de liste de refus qui autorise l'accès à toutes les ressources, à l'exception de celles que vous bloquez explicitement. Cela nécessite une politique distincte qui s'applique aux utilisateurs concernés et qui autorise l'accès. L'exemple de politique suivant refuse ensuite l'accès aux ressources spécifiques répertoriées par l'Amazon Resource Name (ARN).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance:*",
"arn:aws:s3:::amzn-s3-demo-bucket3"
]
}
]
}
```
### Ajouter manuellement les autorisations de l'éditeur de balises
+ `tag:*`(Cette autorisation autorise toutes les actions de l'éditeur de balises. Si vous souhaitez plutôt restreindre les actions accessibles à un utilisateur, vous pouvez remplacer l'astérisque par une [action spécifique](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) ou par une liste d'actions séparées par des virgules.)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`
**Note**
L'`resource-groups:SearchResources`autorisation permet à Tag Editor de répertorier les ressources lorsque vous filtrez votre recherche à l'aide de clés ou de valeurs de balise.
L'`resource-explorer:ListResources`autorisation permet à l'éditeur de balises de répertorier les ressources lorsque vous recherchez des ressources sans définir de balises de recherche.
## Octroi d'autorisations pour l'utilisation de l'éditeur de balises
Pour ajouter une politique d'utilisation Groupes de ressources AWS et un éditeur de balises à un rôle, procédez comme suit.
1. Ouvrez la [console IAM sur la page **Rôles**](https://console.aws.amazon.com/iamv2/home#/roles).
1. Trouvez le rôle pour lequel vous souhaitez accorder des autorisations à l'éditeur de balises. Choisissez le nom du rôle pour ouvrir la page de **résumé** du rôle.
1. Sous l’onglet **Autorisations**, sélectionnez **Ajouter des autorisations**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'onglet **JSON**, collez la déclaration de stratégie suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*",
"resource-groups:SearchResources",
"resource-groups:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
**Note**
Cet exemple de déclaration de politique accorde des autorisations pour effectuer uniquement des actions de l'éditeur de balises.
1. Sélectionnez **Next: Tags (Suivant : Balises)**, puis **Next: Review (Suivant : Vérification).**
1. Entrez le nom et la description de la nouvelle politique. Par exemple, **AWSTaggingAccess**.
1. Choisissez **Create Policy** (Créer une politique).
Maintenant que la politique est enregistrée dans IAM, vous pouvez l'associer à d'autres principes, tels que des rôles, des groupes ou des utilisateurs. Pour plus d'informations sur la façon d'ajouter une politique à un principal, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'*utilisateur IAM*.
## Autorisation et contrôle d'accès basés sur des balises
Services AWS soutenez les éléments suivants :
+ **Politiques basées sur l'action** : par exemple, vous pouvez créer une politique qui permet aux utilisateurs d'effectuer des `GetTagKeys` `GetTagValues` opérations, mais pas d'autres.
+ **Autorisations au niveau des ressources dans les politiques** : de nombreux services prennent en charge l'utilisation [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)pour spécifier des ressources individuelles dans la stratégie.
+ **Autorisation basée sur des balises** — De nombreux services prennent en charge l'utilisation de balises de ressources dans le cadre d'une politique. Par exemple, vous pouvez créer une politique qui permet aux utilisateurs d'accéder pleinement à un groupe qui possède le même tag que les utilisateurs. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
+ **Informations d'identification temporaires** : les utilisateurs peuvent assumer un rôle dans le cadre d'une politique autorisant les opérations de l'éditeur de balises.
L'éditeur de balises n'utilise aucun rôle lié à un service.
Pour plus d'informations sur la façon dont Tag Editor s'intègre à Gestion des identités et des accès AWS (IAM), consultez les rubriques suivantes du *guide de l'Gestion des identités et des accès AWS utilisateur* :
+ [AWS services qui fonctionnent avec IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Actions, ressources et clés de condition pour Tag Editor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [Contrôle de l'accès aux AWS ressources à l'aide de politiques](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)