翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用するための前提条件 AWS Resource Groups
リソースグループの使用を開始する前に、既存のリソースを含むアクティブな AWS アカウントと、リソースをタグ付けし、グループを作成する適切な権限があることを確認します。
**Topics**
+ [にサインアップする AWS](#gettingstarted-prereqs-signup)
+ [リソースの作成](#gettingstarted-prereqs-create)
+ [アクセス許可の設定](gettingstarted-prereqs-permissions.md)
## にサインアップする AWS
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
## リソースの作成
空のリソースグループを作成することはできますが、グループにリソースができるまで、リソースグループメンバーに対してタスクを実行することはできません。サポートされるリソースタイプの詳細については、「[AWS Resource Groups およびタグエディタで使用できるリソースタイプ](supported-resources.md)」を参照してください。
# アクセス許可の設定
リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
+ 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
+ タグエディタコンソールを使用するために必要なアクセス許可
+ AWS Resource Groups コンソールと API を使用するために必要なアクセス許可。
管理者の場合は、 AWS Identity and Access Management (IAM) サービスを使用してポリシーを作成することで、ユーザーにアクセス許可を付与できます。まず、IAM ロールやユーザーなどのプリンシパルを作成するか、 のようなサービスを使用して外部 ID を AWS 環境に関連付けます AWS IAM アイデンティティセンター。次に、ユーザーが必要とする権限を含むポリシーを適用します。IAM ポリシーの作成とアタッチについては、「[ポリシーの使用](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)」を参照してください。
## 個々のサービスに対するアクセス許可
**重要**
このセクションでは、他のサービスコンソールや API を使用してリソースをタグ付けし、そのリソースをリソースグループに追加する場合に必要なアクセス許可について説明します。
「[リソースとそのグループタイプ](resource-groups.md#resource-groups-intro)」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、そのサービスの API でのタグ付けアクションに対するアクセス許可 (例:「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)」に記載されているアクセス許可) が必要です。
リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon EC2 のこのようなポリシーの例については、[Amazon EC2 ユーザーガイド」の「Amazon EC2 コンソールで作業するためのポリシーの例](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)」を参照してください。 *Amazon EC2 *
## Resource Groups とタグエディタに必要なアクセス許可
Resource Groups とタグエディタを使用するには、IAM のユーザーのポリシーステートメントに以下のアクセス許可を追加する必要があります。によって維持およびup-to-date状態に保ついずれかの AWS管理ポリシーを追加することも AWS、独自のカスタムポリシーを作成および維持することもできます。
### Resource Groups とタグエディタのアクセス許可に AWS マネージドポリシーを使用する
AWS Resource Groups とタグエディタは、ユーザーに事前定義されたアクセス許可のセットを提供するために使用できる以下の AWS 管理ポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
このポリシーは、Resource Groups とタグエディタの両方についての読み取り専用オペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
このポリシーは、Resource Groups のオペレーションとタグエディタの読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
**重要**
上記の 2 つのポリシーは、Resource Groups とタグエディタのオペレーションを呼び出し、それらのコンソールを使用するアクセス許可を付与します。Resource Groups のオペレーションの場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。
ただし、タグ付けオペレーションとタグエディタコンソールでは、アクセス許可がもっと細かく設定されます。オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。
AWS管理ポリシー [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) は、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可を付与します。 は、新しい AWS サービスが利用可能になると、このポリシー AWS を自動的に最新の状態に保ちます。
多くの サービスは、サービス固有の読み取り専用 AWS管理ポリシーを提供しており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。例えば、Amazon EC2 は [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess) を提供します。
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、非常に限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。
許可リスト戦略では、ポリシーで***明示的に許可する***まで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Resource Groups とタグエディタのアクセス許可を手動で追加する
+ `resource-groups:*` (このアクセス許可は、すべてのResource Groups アクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを[特定の Resource Groups アクション](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)、またはカンマ区切りのアクションのリストに置き換えることができます)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注記**
`resource-groups:SearchResources` アクセス許可により、タグキーまたは値で検索をフィルタリングするときに、タグエディタでリソースを一覧表示できます。
`resource-explorer:ListResources` アクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタでリソースを一覧表示できます。
コンソールでResource Groups とタグエディタを使用するには、`resource-groups:ListGroupResources` アクションを実行するためのアクセス許可も必要です。このアクセス許可は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。`resource-groups:ListGroupResources` でのポリシー条件の使用は、現在サポートされていません。
# AWS Resource Groups とタグエディタを使用するためのアクセス許可の付与
AWS Resource Groups およびタグエディタを使用するポリシーをユーザーに追加するには、次の手順を実行します。
1. [[IAM コンソール]](https://console.aws.amazon.com/iam) を開きます。
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. AWS Resource Groups およびタグエディタのアクセス許可を付与するユーザーを検索します。ユーザーの名前を選択して、ユーザーのプロパティページを開きます。
1. **[Add permissions]** (許可の追加) を選択します。
1. **[Attach existing policies directly]** (既存のポリシーを直接添付) を選択します。
1. **[ポリシーの作成]** を選択します。
1. **JSON** タブに、以下のポリシーステートメントを貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**注記**
このポリシーステートメントの例は、 AWS Resource Groups アクションとタグエディタのアクションに対してのみアクセス許可を付与します。 AWS Resource Groups コンソールの AWS Systems Manager タスクへのアクセスは許可されません。例えば、このポリシーでは、Systems Manager Automation コマンドを使用するためのアクセス許可は付与されません。リソースグループで Systems Manager タスクを実行するには、Systems Manager のアクセス許可 (例: `ssm:*`) がポリシーにアタッチされている必要があります。Systems Manager へのアクセス権限を付与する方法については、「AWS Systems Manager ユーザーガイド」の「[Systems Manager へのアクセス設定](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html)」を参照してください。
1. **[ポリシーの確認]** を選択します。
1. 新しいポリシーの名前と説明を入力します (たとえば、`AWSResourceGroupsQueryAPIAccess`)。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. ポリシーが IAM に保存され、他のユーザーにアタッチできるようになりました。ポリシーをユーザーに追加する方法については、「IAM ユーザーガイド」の「[ポリシーをユーザーに直接アタッチすることによるアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy)」を参照してください。